滚动码原理技术参考

杨琳

以最普遍使用的HCS301芯片为例来说明这个观点。 HCS301的最强加密模式是安全模式，在此模式下，参与滚动码运算的有制造商代码、芯片 序列号、同步计数值、识别码、功能键码、溢出位、种子码，其中芯片序列号、功能键码、溢出 位是明码发送的，识别码是芯片序列号的低10位，也是明码。制造商代码和芯片序列号先 行运算成编码密码，编码密码再和同步计数值、识别码、功能键码、溢出位、种子码运算成滚 动码的跳码部分。如果破解了同一批产品的接收机解码程序，就可以知道制造商代码或编 码密码，也可以知道Keeloq的运算方法。到了这一步，还有同步计数值和种子码不知道，因 为种子码是随机产生的，各个遥控器都是不同的。同步计数值更是逐次按键变化的。那么， 怎么样破解这样两个运算数据都不知道的滚动码呢？我们知道同步计数值是逐次加1的。 破解者可以跟踪目标遥控器的行踪，用空中拦截的方法，连续多次采集目标遥控器发出的 滚动码，这样采集到的滚动码看似没规律其实是有规律的，都是同步计数值逐次加1的顺 序排列。然后与“暴力破解”运算出来的滚动码数据比对，就会发现符合顺序的一串数据，那 么，这一串数据所对应的同步计数值和种子码就出来了。如果加入更多的种子码运算，或者 其它参数也加入运算，只要这些参数是固定的或者有规律的，还是可以采用上述的同样方 法，先破解同一批产品的芯片，得知运算方法后，再算出一系列数据，最后是跟踪目标遥控 器采集连续发出的多个滚动码，比对符合顺序的一组数据，解出所有参数，复制遥控器。现 今的计算机技术飞速发展，做到“暴力破解”并非难事，而且，计算机的运算速度还在日新月 异地迅猛加快，这种破解方法会越来越容易。举例来说种子码为00000000H的情况下，对 应的同步计数值从0000H到FFFFH为一组顺序排列；种子码为00000001H的情况下，对应 的同步计数值从0000H到FFFFH为一组顺序排列，以此类推，总共有4G组，每组有64K个数 据，总共是256TB个数据。如果采用3G频率的4核64位CPU运算，每核可在10个时钟周 期内算出1个数据，4个4核CPU同时工作，大约可在7. 4小时内算出256TB个数据。这还 只是最慢的方法，如果找出其中有某种规律性的数据，还能更快地破解此种滚动码，因为先 后各次连续的滚动码看似没有联系其实是有联系的，只是同步计数值增加了 1，而且其运算 方法又是已知的，应该不难找出更快的破解方法。RFID芯片遥控器也不难破解，因为接收机 和遥控器都有应答信号，有了应答信号就增加了破解的线索。

永恒平行线

学习了   谢谢