インターコムマルチキーと「ピル」の模倣に関するすべて

はい、これはひどくハッキングされたトピックです。 おそらく、マイクロコントローラーの研究を始めた2人に1人は、普遍的なインターコムキー「ピル」を作りました。 インターネットには多くの記事があり、インターネットには既成のソリューションがあります。 ただし、これへの関心は、RFIDへの大規模な移行があっても消えることはありません。 これは驚くべきことではありません。多くの人が、非常に興味深いタスクを実行するだけでなく、常にそれ自体で動作するデバイスを組み立てたいからです。 さらに、製造はそれほど難しくありません。



この投稿では、このようなキーを作成したい人に必要なすべての情報を1か所に集めたいと思います。 次に、連絡先ドアホンキーとは何か、それらがどのように機能するか、それらをシミュレートする方法、落とし穴とは何か、またそのようなデバイスの実装と同様のデバイスを組み立てる方法について説明します。







注意！ このキーは、どこでも不正な入力を許可しません。 このデバイスは、複数のキーではなく1つのキーのみを運ぶためのものです。

インターコムを開くための普遍的なコードを書くことを妨げるものはありませんが。

インターコムキーの種類「タブレット」

実際、MicroCANケースのこのようなキーは、外観はほとんど同じですが、種類は異なります。 それらを結合する唯一のことは、寄生電力が使用されている間、キーには接地とデータの2つの接点があることです。 キーは、データラインから直接給電されます。 ドアを開くには、工場で指定されたシリアル番号を使用します。 つまり、これはインターホンを開くようにプログラムされたキーではなく、インターコムを開くことができるキーのリストがインターコムメモリに入力されます。 それらをより詳細に検討しましょう。

iButton

最も一般的なタイプのインターコムキーはiButton、つまりダラスのDS1990Aであり、1-Wireプロトコルで動作します。 このプロトコルは非常に注意が必要です。双方向の対話を意味します。さまざまなコマンドをキーに送信して、異なる反応をさせることができます。 シリアル番号のサイズは6バイトです。これは、2 ^{8 * 6} = 281474976710656の異なる組み合わせを提供し、発行されるすべてのキーが一意でなければならないことを意味します。 幸運で元のiButtonを持っている場合は、16進数のこの番号をレーザーで刻印する必要があります。







つまり、理論的には、そのようなキーは、単にどこかに書き留めるか、これらの数字を撮影することで偽造できます！



iButtonと対話するには、iButtonをマイクロコントローラに接続し、抵抗を介してデータラインを電源（2.8〜5ボルト）に引きます。







ほとんどの場合、これは世界と同じくらい古いものですが、それでも1-Wireの仕組みを簡単に説明します。 データは、ラインを地面に交互に押すことによって交換され、情報はそのような信号の持続時間によってエンコードされます。 次のようになります。

• リセット -マスターは少なくとも480マイクロ秒間ラインを地面に押します。これはデータ転送の開始を示します。
• 存在 -しばらくすると、キーは約120マイクロ秒のインパルスで応答し、回線上での存在を確認します。
• コマンド -マスターは8ビットのコマンドを送信しますが、論理ユニットは1〜15マイクロ秒で、ゼロは60〜120です。

さらに、それはすべて送信されたコマンドに依存します。 通常、これは33h-" READ ROM "、シリアル番号の読み取り、その後マスターが64ビット（1バイト-デバイスのタイプ、6バイト-番号自体、1バイト-CRC）を読み取ります。 各ビットの読み取りは、マスターによって初期化されます。これにより、1〜15マイクロ秒のインパルスが送信されます。 この後、線がキーの側面から地面に60〜120マイクロ秒押されると、ゼロが読み取られます。それ以外の場合は1です。



ご覧のとおり、キーの読み取りは簡単です。 特に多くのインターコムが異なるトリックを使用しているため、キーを模倣することははるかに困難です。 主な落とし穴は次のとおりです。

• データ転送中に送信された場合でも、常にresetに応答する必要があります。 480マイクロ秒より長いパルスは、最初からやり直す必要があることを示しています。
• 彼の観点からは、キーを適用した瞬間もリセットされます。その前には力がなかったからです。 したがって、理論的には、インターコムはリセットを送信しない場合があります。定期的にプレゼンス信号で応答する必要があります。
• キーは他のコマンドに応答することもできます。33hの代替としての0Fh、 SKIP ROM （CCh）、 MATCH ROM （55h）、および最もトリッキーなものについては、後で個別に説明します-SEARCH ROM （F0h）。 一部のドアホンは、このようなコマンドのさまざまな組み合わせを送信して、キーが本物であることを確認できます。
• 逆の状況があります-インターコムは、キーが応答してはならないコマンドを送信します。 事実、一部のプログラム可能なキーは依然としてそれらに反応し、この方法で別のテストが実行されます。 リセットが送信されるまで、これらのコマンドに続くすべてを完全に無視する必要があります。
• 時間をカウントするには、マイクロコントローラーで非同期タイマーを使用することをお勧めします。 アカウントはマイクロ秒になります。 ただし、石英の取り付けは不要です。

SEARCH ROM （F0h）は、バス上のすべての1-Wireデバイスを検索するコマンドです。 実際には、理論的には多数のキーを並列に接続し、すべてのシリアル番号のリストを取得することが可能です。 実際には、インターコムに常に1つのキーのみが適用されるため、これはiButtonには使用されません。 ただし、一部のインターコムはこのコマンドを送信し、1つの単一のシリアル番号を見つけることを期待しています。 アルゴリズムは非常に興味深いです。 バス上の各デバイスは、シリアル番号のビットをさらに2回同時に送信します（つまり、マスターは2ビットを読み取る必要があります）。 まず、通常の方法で、次に反転します。 結果は何ですか？ ユニットのシリアル番号にユニットがある場合、「10」が送信されます。 ゼロの場合、「01」。 そして、すべてのデバイスでこれらのビットが一致する限り、すべてが正常です。 そうでない場合は...上記で、読み取り時に、長い信号の存在は0、不在は1、つまり 0が支配的です。 したがって、競合が発生すると、2つのゼロが読み取られます。 「10」、「01」または「00」を受信した後、マスターは読み取りビットをラインに送信する必要があります。 「00」の場合、彼は次のデバイスのグループを選択します。 その結果、N回の反復後、N個のシリアル番号のバイナリツリーが取得されます。

このようなコマンドに答えるのは、通常のREAD ROMよりも少し難しいです。 各ビットを2回送信する必要があります-通常と反転、そしてマスターから受信した応答がそれと一致するかどうかを確認し、一致しない場合、それ以降のコマンドを無視します。

サイフラール

キーとなる「デジタルDC-2000A」は国内開発です。 それらとのやり取りははるかに簡単です、なぜなら 彼らは非常に愚かです-彼らはコマンドを受け入れません。 キーに電源を投入するだけで十分であり、すぐにコードを無限に送信し始め、抵抗を変えます。 1kΩの抵抗を介して接続して5ボルトを与えると、オシロスコープで次のように表示されます。







キーは、私が間違えなければ、その抵抗を約800オームと400オームの間で変更します。 信号はアナログであると言えますが、これはハードウェアの観点から少し複雑になります。 時々それは単純化できますが。 たとえば、キーをコンピューターのマイク入力に接続し、オーディオファイルを録音するだけでキーを読み取ることができます。







そして、はい、インターコムは最も一般的なMP3プレーヤーで開くことができます。 しかし、もっと文明化された方法に興味がありますよね？



コーディングは少し奇妙です。 キーは9個のニブル（4ビット）を周期的に送信し、抵抗を変更します。 約50マイクロ秒の間低いままである場合、論理ゼロであり、100マイクロ秒が単位である場合。 しかし、データは論理的なゼロと1ではなく、ゼロ間のユニットの位置によってエンコードされます！ つまり、コードを送信するときのキーは、「1000」、「0100」、「0010」、および「0001」の4つの組み合わせのうちの1つのみを提供できます。 ただし、「0111」の組み合わせも開始シーケンスとして使用されます。 その結果、キーからのデータは次のようになります。「0111 1000 0100 0010 0001 1000 0100 0010 0001」。「0111」は開始を示します。 チェックサムはありません-確認のためにコードを数回読み取るだけです。



4つの組み合わせが可能な合計8つのシーケンス。 これが65,536の主要なオプションを提供することを計算することは難しくありません。 それほど多くはありませんが、明らかに頻繁に繰り返されます。 理論的には、入り口に50のアパートメントがあり、それぞれに3つのキーがある場合、合計436の組み合わせをソートして、いずれかを選択できます。 しかし、私はそれをしませんでした。



Cyfralキーを読み取る最良の方法は何ですか？ 私が言ったように、レベルはアナログです。 2つのオプションがあります：A / Dコンバーターとコンパレーター。 後者の方が信頼性が高いようです。 650オームの抵抗でVddにプルされたデータラインをコンパレータ入力の1つに接続し、Vddの半分を2番目の入力に接続すると、すべてが正常に機能します。 その後、コンパレータの出力の結果は、高いキー抵抗と低いキー抵抗として自信を持って認識できます。



そのような鍵を模倣する方法は？ 一見すると抵抗も変更する必要があるように見えますが、結果はインターホンにはそのような精度は必要ないことを示しています-低抵抗の代わりに安全にラインを地面に閉じて、必要なときに完全に放すことができます。

メタコム

別の国内開発は、メタコムインターコムとK1233KT2キーです。 Cyfralのように、コードを無限に送信し、抵抗/消費電流を変更します。 幸いなことに、公式ドキュメントはインターネットで入手できます。











このキーで作業するために知っておく必要があるのはこれだけです。 4バイトのデータを送信しますが、それぞれで1ビットがパリティになります。 合計28の有用なビットが出力され、2 ²⁸ = 268435456の組み合わせです。



悲しいかな、私はそれを実験するそのような鍵を見つけることができませんでした。 ただし、インターネット上でMetacomのインターコムの99％を開くユニバーサルコードを見つけるのは簡単です。 それらの1つは私の隣の階段にあります。 技術文書のみに基づいてこのコードを送信するプログラムを作成しました。 隣の入り口は最初の試みで開いた。 このインターコムにとって、正確な抵抗もそれほど重要ではないようです。 これに関して、私はメタカスを放っておき、彼らの鍵を読むことはそれほど必要ではないと決めました。

ユニバーサルキーコード

実際、インターホンへのユニバーサルキーは神話に近いものです。 開発者がすべてのドアに特別なコードを作成することはほとんどありません。例外はVizitだけです。



しかし、キーコードを読み取った後、多くのインターコムがキーコードをメモリセルに記録されているすべてのコードでチェックするという伝説があります。 ただし、まだ何も書き込まれていないセルには、FFまたはゼロがあります。 したがって、インターコムを開くには、ゼロからのみキーを送信するか、FFokからのみキーを送信します。



それは完全なナンセンスのように聞こえます。 このようなバグを許可するプログラマーになるにはどうすればよいですか？ しかし...それは本当に頻繁に機能します。 はい、新しいファームウェアでは通常これは修正されますが、多くのインターコムは何年も変更されていません。 信じられないですが、本当です。



ユニバーサルキーとして発行される他のキーコードは、通常、郵便局、ZhKO、またはインターコム会社自体の従業員のサービスキーであり、個々の決済でのみ機能します。

マルチキーを作成する

練習に移りましょう！ はい、キーの模倣と読み取り（Metakomを除く）、およびUSBを介したコンピューターとの同期の両方を1つのデバイスに統合しようとしました。 これが何が起こったかの図です（クリック可能）：







コンポーネントとその目的：

• IC1-マイクロコントローラーATMEGA8 / ATMEGA8A / ATMEGA8L;
• U1-デバイスをコンピューターに接続するために必要なFT232RL USBコントローラー。
• CON1 -miniUSBコネクター;
• BT1-3-5ボルトを与えるバッテリー。
• D1およびD2-バッテリー電源をUSB電源から分離するダイオード（できればショットキー）。
• P1-インターコムへの接続に使用される「タブレット」iButton。
• P2-キーへの接続に使用されるキーリーダーの連絡先。
• R1は、1-wireラインをVCCに引っ張る抵抗です。
• R2-トランジスタQ2を制御するための電流低減抵抗。
• R3 -Cyfralキーを読み取るためにラインをさらにVCCに引っ張る抵抗。
• R4 -Q1を開き、USBへの接続を決定するために使用される電流削減抵抗。
• R5 -USB接続がない場合、Q1ベースをグランドに引っ張って閉じます。
• R6 -LEDの電流低減抵抗、1つで十分です。 同時に彼らは燃えません。
• R7およびR8-コンパレーターの入力の1つがCyfralキーを読み取るための分圧器。
• Q1 -USBへの接続を決定するトランジスタ。
• Q2-電池を入れないように、リーダーとエミュレーターで地面をオンにするトランジスタ。誤ってポケットの接点を閉じます。
• C1 、 C2 、 C3-電力フィルタリング用コンデンサ。
• SW1-デバイスを制御する唯一のボタン。
• LED-キー番号を表示するための8つの形式の7つのLED。

プリント基板（クリック可能）：







デバイス用のケースではなく、ケース用のデバイスを設計したのは、まだ3Dプリンターを購入する前の時間でした。 キーチェーンの形をしたボタン付きの非常に素晴らしいコピーが私の手に入りました。 完璧なのは、USBとLEDに穴を開けることだけでした。 悲しいかな、私はまだまったく同じケースを販売中に見つけることができません。 その結果、次のようになりました。











ボードの下のバッテリー。 ちなみに、キーを抜くのを忘れて偶然に泳ぎに登るまで、1年間は十分でした。



管理はボタン1つで完了します。 最初に押すと、デバイスの電源が入ります。 ボタンを短く押すと、キーが選択され、その数がLEDによって表示されます。 目的のキーが選択されたら、連絡先をインターコムリーダーに接続するだけです。



ボタンを長押しすると、デバイスがキー読み取りモードになり、中央のLEDが点滅します。 この時点で、キーリーダーの接点にキーを取り付ける必要があります（そのため、下からネジをねじ込んでいます）。 読み取りが成功した場合、キーが保存されている番号が表示されます。



USB経由で接続すると、デバイスは仮想COMポートとして認識されます。 簡単にするために、クライアントはWindowsで記述されています。







データベースからキーを自動的に入力しながら、デバイスからキーを読み取ることができます。 もちろん、キーは書き留めることができます。



ここにファームウェアソースがあります： github.com/ClusterM/ibutton

クライアントソースはこちら： github.com/ClusterM/ibutton_client

おわりに

家、親relative、仕事、友人のポーチの鍵を持っていると、1つのデバイスで非常に便利です。 アパートでインターホンを使用していない人にとっては特に重要です。 しかし、マルチキーを作成することはそれほど面白くありませんでした。 これは、マイクロコントローラーについて学ぶための素晴らしいプラクティスです。 はい、私が一度に始めたのはこれからでした。 さらに、それぞれの新しい非開口階段は、関心の嵐を引き起こしました。 街中を走り回ってロジックタスクを解いて何らかのドアを開くことは、実際のビデオゲームのようなものです。 エキサイティング。 欠けているのは、ボスの形でポーチでゴプニックとおばあちゃんとの戦いです;）