DEFCON 27 Conference。机械钥匙的复制，访问受到限制。第1部分

演讲简报：

受限键或具有受限访问权限的机械键与常规键的不同之处在于，不允许重复使用。因此，这种钥匙（和锁）的制造商严格监控用于复制的坯件不会出现在公共领域中，或者开发出极其难于捡拾成品的钥匙。美国的带锁锁系统使用了诸如Medeco，Abloy，Assa和Mul-T-Lock之类的锁系统，部分是为了抵抗锁的机械破裂，但在更大程度上是为了防止重复出现未经授权进入锁房的可能性。白宫和加拿大国会大厦之类的地方专门为这些设施使用特殊的密钥配置文件，以确保没有人可以购买空白，复制。

但是，有成千上万的关键空白配置文件，即使对于非常有限的一系列锁，也适合复制。由于钥匙只是金属片，比尔和罗伯特·格雷登兄弟将在演讲中讲述如何为Medeco，Mul-T-Lock和Abloy高安全性系统的机械锁制作重复钥匙。他们还将涉及密钥制造控制的各个方面，包括专利，并考虑秘密对象的管理如何防止重复密钥的破坏。



Bill Graydon是GGR安全顾问的总监，并积极从事电子监视和信号，安全环境中的人类心理学以及阻塞系统分析领域的研究。他获得了多伦多大学的计算机工程硕士学位和法证工程证书，并利用他的知识来开发数学模型以改善物理世界的安全性。

Robert Graydon是GGR Security的技术总监，他正在研究机械和电子锁的漏洞，以便检测和评估可能的设计缺陷或攻击方法。他本人在开锁，水暖和对多种类型的高安全性锁以及电子安全系统及其组件的机械和功能有透彻了解方面具有很强的技能。这些知识和经验使他能够有效地搜索和测试黑客入侵高安全性系统的方法。

主持人：现在我们将听到有关安全的物理方面的信息。你们当中有多少人看到过这些标有“请勿重复”的键？当然，我不会这样做，但是现在与您交谈的人有不同的看法。欢迎Bobby和Bill来到Fancy Track！



罗伯特：大家问候，我是鲍比，这是我的兄弟比利·格雷登。让我们看一下这张幻灯片，其中描述了在北美广泛使用的机械锁的钥匙。它们非常容易复制。如果您需要此类钥匙的副本，请前往锁匠或钥匙车间。

让我向您展示一个用于制作重复键的机器工作的视频，该视频称为Profile Cutter（轮廓切割器）-“ Profile Cutter”（轮廓切割器）。原始钥匙安装在机器的一侧，工件安装在另一侧。机器通过用金属探针机械扫描胡须的所有切口和突起，并同时在工件上切割出完全相同的轮廓，从而移动原稿。



举个例子，我将展示一个简单地复制到这样的机器上的密钥。这是发射“泰坦二号”核导弹的钥匙，该导弹插入了军事博物馆的发射控制台。您可以使用此键前往任何车间，并在Profile Cutter上进行复制。



幸运的是，从那时起，高安全性密钥已经走了很长一段路。为了让您想象城堡是如何工作的，我将显示一个图表。您会看到由移位线分隔的不同颜色的矩形。当钥匙在锁中时，锁的锁销与代码销或钥匙销对齐。在此位置，可以转动钥匙以打开锁。



观看以下视频。当您将钥匙带给锁匠进行复制时，他将原件放置在夹子中，并非常精确地调整刀具的位置，从而在工件上切出轮廓，该轮廓重复原始钥匙的轮廓。现在看这张幻灯片-尽管其中的一些键不太常见，但很多人都可以识别。这些是具有特殊空白配置文件的高度保护的密钥，如果某些锁匠为您提供此类密钥的副本，那将是巨大的成功。最有可能的是，他将无法或不会愿意。



今天，我们将讨论将原件带给锁匠时如何自己制作这样的钥匙，他说：“抱歉，伙计，但是我不能剪这样的东西。”

法案：因此，当您携带锁匠带给您的钥匙被禁止复制时，锁匠说他不能复制它，这有两个原因。首先是锁匠根本没有必要的工件。在第二个视频中，我们显示了在开始切割副本之前，您需要选择一个工件，该工件的轮廓将完全重复原始的物理形状，包括键的厚度和胡须的横向轮廓。工件的重要部分是所谓的钥匙座-一种截面形状，可让您轻松地将钥匙插入钥匙孔。钥匙的制造过程始于选择可以切割成适合钥匙孔的矩形金属毛坯。



对所需长度的钢筋进行纵向修整的结果是，我们得到了这种轮廓的毛坯，如图2所示。在这种情况下，钥匙轮廓将对应于图3中所示的钥匙孔轮廓。 5.在工件上切割纵向凹槽的过程，如图所示。 2，被称为铣削-“工件制造”。防止将错误钥匙插入锁中的孔的特殊形状称为防护-“保护槽”。锁的保护是所有制造商都试图使用自己独特的井孔轮廓，因此不可能简单地将Schlage钥匙插入Weiser锁中-它将不会在那里。让我们来看看我们的第一个锁孔漏洞利用。

幻灯片上显示的内容称为“主密钥系统”。所有主钥匙都有一个纵向凹槽，可将其插入锁中。表格顶部是Schlage SC1钥匙的外形，该外形在北美是最常见的，形成了同一类型的整个钥匙家族。左上方的第三个键是SC8键，它们不会进入一个孔。但是，下面以蓝色圆圈显示了主钥匙1145H，您可以用它打开两个锁-SC1和SC8。在大型企业或安全系统设计不良的建筑物中，主钥匙几乎打开了所有锁。如果房间A用钥匙SC1打开，而房间B用钥匙SC8打开，那么拥有主钥匙H的您将打开两个房间。而且您可以无意间这样做，这就是问题所在。



假设我有一个B房的钥匙，和我一起去一个锁匠。但是，他可能不具有该图中显示的所有空白。因此，他可以说：“好吧，我将为您提供一个SC19钥匙，它将打开所有这些锁。”锁匠可以节省购买该系列不同钥匙的坯料的费用，使所有锁的SC19复制相同。因此，使用更高安全级别的通用密钥，我可以进入房间A。



这是人们可以完全无意使用的第一个漏洞。我们演讲的主题是限量版的钥匙，禁止重复使用，因此为了演示，我们将使用Medeco M3钥匙坯的计算机模型。由于原件只是一块金属，因此我们在3D打印机上打印了模型。这是功能齐全的毛坯，可以根据需要切割，以便像真正的金属钥匙一样在锁中工作。



如果要用金属制成，则可以使用下一张幻灯片中所示的机器。它与每个人口袋中用于批量生产钥匙的机器非常相似。



在顶部，您会看到一台圆磨机，沿键槽加工出沟槽，从而可以将其插入特定形状的键孔中。说到禁止重复使用的键，有必要提到一个名为Easy Entrie的红色小金属盒。这是一台具有数控系统的自动仿形铣床，用于切割关键轮廓，在德国制造。大多数人无法使用这些机器，因为它们太昂贵了，此外，它们还禁止私下使用。这就是为什么我们不详细介绍它们的原因之一。



钥匙孔的钥匙选择是一个非常繁琐的过程。如果您向锁匠询问这件事，他会说这堂课能够使任何人发疯。因此，我们决定通过开发软件来实现此过程的自动化，该软件包括一个包含数百张钥匙坯和锁孔轮廓的数字化图片的数据库，并编写了一种脚本语言，其界面类似于MIT Scratch。那些认识他的人会在幻灯片的底部识别出几行这种语言。



我们拍摄Schlage SC1键坯的配置文件图片，这是顶部的黑色配置文件，并将其与SC8配置文件进行比较。结果，该程序产生了一个具有重叠轮廓的图片，其中红色以红色显示SC8可用的金属部分，而SC1则缺少的金属，蓝色-SC1存在的部分金属，而SC8的缺失部分，这不允许将第一把钥匙插入锁中。第二。紫色数字是适合两个锁的轮廓。

下一张幻灯片显示了Sargent 1007 RA钥匙的左“倒置”版本（Sargent 1007 LA钥匙）实际上与Medeco 9S钥匙的钥匙孔轮廓匹配。紫色条表示在该区域中没有一个或另一个钥匙唯一的金属，并且由其制成的钥匙进入钥匙孔所必须的工件厚度。



因此，在这种情况下，我们有一个Medeco 9S毛坯，该毛坯是双轴的，禁止重复，因此您无法在任何地方订购这种钥匙，但是您可以拿出一块厚度为三千分之二英寸的金属，该金属完全适合于锁。我们在程序中添加了一些带有数学计算的二进制文件。我们不添加密钥配置文件，也不将它们彼此相减，但是我们将一个配置文件叠加在另一个文件上，并获得具有两个密钥共用的轮廓的配置文件。



Schlage C，E和F键的配置文件如下所示，顺便说一下，C和E只是SC1，SC8等的别称-在下一张幻灯片的顶部可以看到它们。这些键的组合配置文件的交集将是一个主键，它将进入每个锁孔。因此，您可以拿取合适尺寸的通用工件，并用圆刀将其切入所需的凹槽中。

因此，我们选择最合适的钥匙L，我们希望将钥匙L和M插入锁中，并将其与其他配置文件进行比较，并查看程序如何以红色显示阻止其执行此操作的金属碎片。



接下来，我们用16英寸铣刀转动工件，去掉红色区域，然后看到右图中的轮廓对于两个锁孔来说都是通用的。那些熟悉脚本的人会注意到我们在这里使用变量。然后，我们使用数据库中每个钥匙孔的配置文件分析语言与特定密钥的配置文件进行比较。



进行了这样的比较后，我们看到此密钥与“密钥倒置”形式非常相似。如果是这样，我们将其从比较中排除。在幻灯片上，您可以看到运行脚本的输出的一个小示例，结果收到了一大堆以一种或另一种方式对称的键。让我们对密钥被拒绝的复制应用相同的算法。

在下一张幻灯片中，您看到了Medeco 1515钥匙，它与A型钥匙坯相比，后者可以在几乎任何锁匠的车间购买。此空白最适合我们需要的密钥配置文件。足以切割红色标记的金属片，并且可以将其用于Medeco 1515钥匙的钥匙孔中；



如果要使用全尺寸，可正常使用的钥匙，则必须去除工件轮廓顶部的一些金属。可以使用手工锉来完成。我们还开发了一种小型适配器，可安装到CNC钳工中，从而扩大了精确车削工件的可能性。视频显示了如何执行此过程。



好吧，这意味着我们已经夹紧了一个工件。我插入工件，启动切刀，然后随着工件向上慢慢拉出夹具，沿键拖动纵向凹槽。 CNC机床可让您非常准确地确定其位置和凹槽深度。您还可以使用钻孔机，如下一张幻灯片所示。这是在CNC机床上修改过的工件A，可以在这种公开可用的设备上进行修改。任何可以每月支付50美元访问Hacker Space或Makers Space的人都可以使用此技术来使密钥空白。

因此，我们采取了最合适的坯料，对其进行了一些修改，并像Medeco 1515一样进行了胡须切割。现在，我们有了一个“安全”钥匙的副本，该钥匙是由该国最常见的坯料制成的。



我们可以做得更轻松。看这张幻灯片-底部最左边的配置文件对应于Medeco 1515键，而右边是与SC8匹配的Schlage E配置文件。乍一看，它们是不同的，直到您注意到这些配置文件是彼此的镜像。不幸的是，我们居住在3个维度中，而不是4个维度中，因此您根本无法将钥匙从里向外翻来插入钥匙孔。



但是，您可以将其背面插入锁中，切掉头部。在这种情况下，它理想地进入井中。我们制作了这些可爱的钥匙树桩，您可以将它们向后插入到锁中，现在我们可以完美地使用钥匙的镜面反射了。



您可以说这是一种作弊行为，这种断头的钥匙只能使用一次，因为很难将其从锁中拔出以进行重用。但是无论如何，都会存在一个安全漏洞，因为您甚至都不需要工件来破解这种锁。这就是为什么具有高安全性的锁制造商会严格控制工件的原因，否则它们可能被用来制造任何有限的访问钥匙。一旦这把钥匙碎片落入错误的人手中，它可能会丢失，出售，以任何方式进行使用，这是完全无法控制的。因此，如果您有一个这样的截止键，但其胡须与原始键的轮廓并不完全对应，则可以将缺失的金属片焊接到该截止键上。这样的密钥可以应用100次，在磨掉焊料之前。焊料是一种相当柔软的材料，这很好，因为您可以多次将钥匙插入锁中，并且它将正确地处理钥匙。

下一张幻灯片显示了另一个有趣的钥匙，带有凸胡须，其头部由带有USPS字母的箭头指示，这是邮递员的钥匙，用于打开您的邮箱并从中提取外发邮件。洛杉矶有进取心的犯罪分子发现了一种复制这种密钥的好方法，这种密钥在任何地方都无法获得。幻灯片的左侧是一堆从邮箱失窃的小饰品，右侧是经过修改的家用工具，特别是剪刀代替邮递员的钥匙。



用箭头在这方面还有一些有趣的东西-它不是通过转动而是通过按下制成的。这不同于钱包中的大多数钥匙。这样的钥匙在压力机下从一块扁平的金属中“挤压”出来。在下一张幻灯片中，您将看到我们在铣床上制造的模具的示例。在它们之间，您可以插入一块金属，用压力机挤压它，得到半圆形的钢坯，然后可以从中用箭头制成这样的钥匙。



当然，我们没有这样做，因为这完全是非法的。但是，这种制造方法使我们想到了-通常要打磨的钥匙呢？可以通过压制方法将这种技术用于其制造吗？事实证明这是可能的。



让我们考虑一下。锁芯本身可以通过沿纵轴切割而用作模具。因此，我们拿起Schlage SC1锁，用铣刀将其切成两半。如果有时间，您可以使用dremel。这就是城堡内部的样子。



我们已经收到了两种形式的表格，可用于将一块扁平的金属压成功能齐全的钥匙坯。我们只是这样做了，结果是空白了所需的配置文件。然后，将其插入到Profile Cutter中，并切出与原始Schlage SC1键的胡须匹配的胡须。对于下一张幻灯片中描述的复杂的同心小孔，这比铣削要容易得多，因此肯定需要采用该技术。



您可能会问这是否可以使用受限键来完成，我会回答：“当然可以。”您会看到Medico城堡切成两半。顶部的黄色箭头指向另一种有色金属的螺柱，其目的是防止您将锁切成两半。顺便说一句，她无法应付。红色箭头指向面向锁侧面的矩形插槽。对于那些了解Medeco锁如何工作的人，此解决方案表明了很高的​​安全性。我们使用这些模具在压力机下制作了Medeco受限访问钥匙坯料。

一切都是相对的-如果丢失了密钥，那么您将更改锁，但是如果丢失了主密钥，则必须替换企业中的所有锁。此类事件经常被媒体报道，因为这是一个非常昂贵的过程。如果您丢掉城堡本身会怎样？在大多数情况下，这不会引起任何问题。假设您有一个用万能钥匙打开的挂锁。这座城堡将人锁在建筑物周围的大门上，有人砍了。这对您来说并不重要-好吧，他们切断了密码，好了，因为我们到处都使用这种形式的钥匙孔，犯罪分子无法为他们做钥匙。
但是，犯罪分子可以将其拆解，切割芯子并将其用作制作空白物品的模具，以便为物品的所有锁提供万能钥匙。唯一的困难是，使用万能钥匙系统时，仅根据钥匙孔轮廓来制作这样的钥匙会更加困难。



在幻灯片上，红色箭头指示一个特殊的销，该销使您既可以使用主钥匙也可以使用单个钥匙来使用此锁。查找此引脚的位置非常困难，但是如果您掌握有关主密钥系统的某些信息，则可以这样做。因此，如果您将锁拆成两部分并能够考虑密码和锁销的共同作用，当它们沿着换档线对齐到允许转动钥匙的位置时，这将严重减少Medeco主钥匙可能的选择数量。例如，我们有一个随机密钥可以打开同一系统的其他一些锁。您可以一起收集有关此类键的所有信息，并将组合减少到只有两个可能的选项-如果第一个不起作用，则尝试第二个，依此类推。



因此差异正在减小。在我们的程序中，我们设置了几个选择参数，包括销钉沿剪切线的相对位置，相邻销钉的位置，这些位置允许您在两个不同的锁中使用随机钥匙，等等。在这种情况下，我们有一份单独的报告，我们将在不久的将来在相邻的会议上进行介绍。因此，知道如果您丢失了可以用主钥匙打开的锁，请考虑您已经丢失了主钥匙本身。

现在，让我们看一下KeyMark系统锁。这是Medeco的一种折衷解决方案，专门为企业设计，在这些企业中，密钥管理比抵抗物理攻击更为重要。但是，此锁还提供了防止盗窃或破坏性侵入的基本保护。



当锁中没有安全销时，钥匙会抬起6对所有销，以便可以旋转。安全销的设计使其可以使用钥匙以外的工具来激活安全销，并阻塞换档线上的一个或多个销。触发后，安全销将不允许铁心旋转，直到移除电压并且销回到其原始位置为止。

如果看这张照片，您会在铁芯的上部看到一个完全笔直的凹槽。倾斜的钥匙孔永远不会与该切口相互作用，因此，如果要制作这样的钥匙的坯料，可以很容易地通过按下来制作。这是一个非常好的锁，但是您绝对不需要重复原始钥匙的形状，该钥匙的头部下方有一个突出物，该钥匙包含在该直槽中-您只需要一块比工件短一点的扁平金属即可，锁就可以完美地工作。

23:10

会议DEFCON27。对访问受限的机械钥匙进行复制。第2部分

一点广告：）

感谢您与我们在一起。你喜欢我们的文章吗？想看更多有趣的资料吗？通过下订单或向您的朋友推荐给开发人员的基于云的VPS，最低价格为4.99美元，这是我们为您发明的入门级服务器 的独特类似物：关于VPS（KVM）E5-2697 v3（6核）的全部真相10GB DDR4 480GB SSD 1Gbps从$ 19还是如何划分服务器？（RAID1和RAID10提供选件，最多24个内核和最大40GB DDR4）。

阿姆斯特丹的Equinix Tier IV数据中心的戴尔R730xd便宜2倍吗？仅在荷兰有2台Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100电视！戴尔R420-2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB-$ 99起！阅读有关如何构建基础设施大厦的信息。使用Dell R730xd E5-2650 v4服务器花费一欧元9000欧元的c类？