标签: 无钥匙

随着传统实体汽车钥匙日渐式微，各大车厂也已开始配置无钥匙进入系统(Keyless Entry System)、数字钥匙(Digital Key)，无钥匙与数字钥匙带给车主更便利的车用体验，然而，伴随而来的却是前所未有的风险。百佳泰结合深厚的信息安全与RF验证能力，能够针对无钥匙与数字钥匙提供相对应的验证测试，确保多功能汽车钥匙的安全性，进而维护车主的人身与财产安全。 车门门锁与引擎发动的第一道关卡 晋级的无钥匙进入与数字钥匙 随着近年来汽车行业的蓬勃快速发展，早期用来开启车门与发动引擎的传统实体汽车钥匙日渐式微，各大车厂也已开始配置无钥匙进入系统(Keyless Entry System)，甚至开发数字钥匙(Digital Key)技术，车主仅须透过手机下载数字钥匙便能开锁。无钥匙与数字钥匙除了带给车主更便利的车用体验，另可以避免实体钥匙容易复制、车锁被撬开等被盗情况。 什么是无钥匙进入系统 无钥匙进入系统顾名思义就是不需要使用到实体钥匙，目前Keyless Entry可简单略分为二: 1. PKE （被动无钥匙进入和启动） 为Passive Keyless Entry的缩写，车主不用做任何动作，只需随身携带遥控钥匙（key fob）靠近车门约一公尺距离内，汽车无钥匙进入系统便可自动侦测车主身上的遥控钥匙（key fob）以进行身分识别，验证成功便可自动打开车门。 2. RKE （远程无钥匙进入） 为Remote Keyless Entry的缩写，车主可以在距离车子几公尺处、透过遥控器来开锁，遥控器会发送RF信号给车子并解锁，RKE通常都是使用免费的无线信号频段，例如北美区域使用315MHz，欧洲或其他地区的车子则会用434MHz或868MHz。 无钥匙进入系统 Keyless Entry System带来无限便利 伴随而来的却是未知风险 无钥匙带给车主前所未有的便利性，伴随而来的却是未知风险。德国独立权威研究机构-全德汽车俱乐部联盟ADAC (www.adac.de) 于2019年公布对各大车厂进行车用无钥匙进入安全性实测，总计237款车型，测试结果显示，仅三台车的无钥匙进入具备安全性，分别为2018年出厂的路虎发现、路虎揽胜以及2018年捷豹i-Pace。 另外99%的车用无钥匙都不及格，包含2017年的奥迪A8，2018年的宝马 X4 xDrive 30i，2018年的东风思域，2017年的雷克萨斯 CT200，2018年的梅赛德斯A 200 AMG，2018年的沃尔沃XC60等。这些未能通过测试的车子，信号能够轻易被破解而被解锁，提供窃贼绝佳下手机会，导致车主面临车子失窃状况。 就算是锁了车门，车子还是会被偷？ 现今偷车贼今非昔比，能够运用智能型犯罪透过信号桥接的攻击(如下图)，两名窃贼只需准备随手可得的信号传送器与放大器，侧录系统端与传感器端信号，透过两端进行双向沟通协议而轻易开锁。 数字钥匙 Digital Key 无锁无具便利性最高 然而安全性仍堪忧 有鉴于各车厂在无钥匙进入系统(Keyless Entry)的设计不同，安全性等级大不相同，车联网联盟 (Car Connectivity Consortium；CCC) 在2018年发布的数字密钥规范1.0 (Digital Key 1.0)，车主不需要携带遥控钥匙，只要将数字钥匙下载到智能型手机或智能装置上，就能远程解锁或锁上汽车，甚至还能启动引擎，而且这套系统能利用 NFC 的距离限制，以及直接连接到装置上的安全组件，确保 数字密钥规范1.0（Digital Key 1.0） 拥有最高安全等级。 数字钥匙（Digital Key）带来更多潜在危机 数字钥匙（Digital Key）需要载体，例如智能型手机、智能装置等，黑客可以透过Root的权限(意即最高权限)安装恶意软件，读取或修改载体上的数据，或是控制载体与车子之间的无线传输，并使用同上述无钥匙进入的黑客手法中继攻击 (Relay Attack)。 多功能车钥匙检测对象 · 无钥匙进入: 车厂、模块厂 · 数字钥匙 : 因数字钥匙技术牵涉层面更广，从手机APP到云端，皆是黑客觊觎的入侵对象，因此，手机厂、数字钥匙 APP开发者、云端服务业者，皆是安全防护检测的对象。 多功能车钥匙检测服务 尽在百佳泰 针对新款车钥匙的RF信号质量、干扰等问题，深耕无线领域多年的百佳泰，能够够提供RF信号量测(有效信号范围)，干扰测试等。针对上述安全防护问题，提供相对应的固件破解分析；尤其在数字钥匙方面，百佳泰能够提供专业的生物识别破解例如指纹识别，以及手机APP安全性验证等。基于APP与不同手机硬件版本兼容性问题，百佳泰定期采购装置，遍布全球五大洲，装置总数近万，能够针对您数字钥匙的软硬件整合、APP开发提供兼容性测试服务。 注1: 在手机APP安全性验证方面，除了提供国际知名开放式Web应用程序安全项目OWASP（The Open Web Application SecurityProject）归纳的前十大网络安全风险（OWASP Top 10）；百佳泰亦能够根据您的目标市场，执行该市场相对应的测试项目，例如: 中国市场将参考中国工业与信息化部发布的YD/T 2407-2013移动智能终端安全能力测试方法；欧洲市场将参考欧洲网络与信息安全局(ENISA)发布的智能手机手机开发者安全开发指引(SSGAD: SmartphoneSecure Development Guidelines for App Developers)；日本市场将参考日本智能型手机安全论坛(JSSEC Forum: Japan Smartphone Security Forum)；美国市场:将参考美国国家标准与技术研究院(NIST)发布的NIST SP800-163移动应用App安全审核( Vetting the Security of Mobile Applications)。