DS1991 信息纽扣的密钥破解和等效替换 杨振野.docVIP

DS1991信息纽扣的密钥破解和等效替换 杨振野，韦方明，陈坤城，胡兴敏 摘要:本文详细分析了DS1991/DS1425型信息纽扣（TM卡）的初始化、ROM命令和功能命令的操作流程和工作时序图，讨论了密钥破解原理，进而按照1-wire的接口原理和信息纽扣密钥破解的需要给出了适用于DS1991/DS1425型信息纽扣密钥破解和等效替换的电气原理图。 关键词：信息纽扣，密钥破解，等效替换 分类号：TP309.7 文献标识码：B 1． 引言 信息纽扣(iButton)又称TM卡（Touching Memory），是1-wire单总线通信协议的芯片坚固承受苛刻的环境μs以上，使连接于单总线上的所有从器件都复位。对器件的所有访问过程都必须从初始化开始。初始化流程如图3.2所示。首先由主器件发出的复位脉冲，然后从器件给出应答脉冲。从器件的应答脉冲使主器件知道单总线上有从器件存在且准备就绪。发送复位脉冲和发送在线应答的时序要求请参见[1]。 DS1991/DS1425的ROM命令共有4条，Read ROM（读ROM代码）、Match ROM（匹配ROM代码）、Search ROM（搜索ROM代码）和Skip ROM（越过ROM代码）。 DS1991所支持的功能命令共有6条，其中暂存器操作命令3条：Read Scratchpad（读暂存区）、Write Scratchpad（写暂存区）和Copy Scratchpad（复制暂存区）；安全存储分区操作命令3条：Read Subkey（读安全存储区）、Write Subkey（写安全存储区）和Write Password（写密钥）。3条安全存储分区操作命令与密钥有关。 图1 初始化流程图 功能命令由3个字节组成。第一字节为功能命令代码，它定义了6个可执行的功能命令；第2字节是操作地址，其中的低6bit存储分区内的起始地址，高2bit是安全存储分区代码；命令的第3字节是第2字节的反码，如表1所示。 表1 DS1991功能命令组成 命令 第1字节 第2字节 第3 字节 B7 B6 B5 B4 B3 B2 B1 B0 Read Subkey（读安全存储分区） 66H 安全存储分区代码：00，01，10 010000B~111111B 第2字节的反码 Write Subkey（写安全存储分区） 99H Write Password （写密钥） 5AH 0 0 0 0 0 0 所有这些信号应答时序中，除了应答脉冲，都由主器件发出同步信号。 3． 密钥破解原理 但由于通信流程未加密，而验证密钥时又必须由微处理器将密钥以明文形式传送给器件，所以其密钥易被截获故安全性不高。 图2 复位时序 由DS1991的时序图和命令流程[1]可知，我们只要采用单片机系统构成密钥破解装置快速跟踪并分析单总线的数据，即可将密钥分析出来。 DS1991的复位时序图如图2所示。单片机首先发送复位脉冲使单总线为低电平的持续时间大于tRSTL；然后，主器件释放单总线，同时转换为接收模式。通过上拉电阻将单总线拉至高电平；从器件在检测到数据端口的上升沿后，将延时等待tPDH，接着发送应答脉冲tPDL。为了检测应答脉冲，主器件必须在tMSP(采样时间)时刻后检测单总线的逻辑电平。tRSTH窗口时间必须不小于tPDHMAX、tPDLMAX与tRECMIN的三项之和。一旦tRSTH结束，器件之间即可开始数据通信。 分析流程如图3所示。首先，必须分析出由读写器发出的1-WIRE复位脉冲，否则就一直等候。1-WIRE复位脉冲一旦出现，紧随其后的必然是四种ROM命令之一。必须分析发出的ROM命令是哪一种，以确定在其后应放弃多少个字节的数据。追踪装置在放弃若干字节之后，即可接收到功能命令。一旦分析出是功能命令，如为66H、99H或5AH之一，即可得到相应的密钥和安全存储分区区号。由前文可知，一个DS1991或DS1425最多可能使用3个密钥。所以，即使分析出某一个密钥也并不意味着破解工作结束，还要继续等候分析。 图3 密钥分析流程图 密钥破解装置的电气原理图如图4所示。这里采用了液晶显示器，可以使装置具有更多的功能。为了适应标准的单总线通信协议，破解装置的晶振的频率要足够高，这里采用了36MHz。为了避免破解装置对原单总线应用系统产生影响，在引入线中增加了非门74HC04。图3中的“CRYPTO EEPROM”为AT88SC0104C，是非易失型安全存储器，既用于存储解出的密钥，又可以防范被抄板。 4. DS1991/DS1425的等效替换 所有的信息纽扣都具有惟一的ROM代码，如果信息纽扣读写器（即读卡器）验