» Das Geräusch eines Schlüssels, der in ein Schloss gleitet, …

könnte genug Information sein, um eine Kopie dieses Schlüssels zu erstellen und das Schloss zu öffnen – das ist die Schlussfolgerung von Forschern, die die „akustikbasierte physikalische Schlüsselinferenz“ untersucht haben.

Es macht Sinn, wenn man darüber nachdenkt: Das Klicken und Klacken eines Schlüssels, der in ein Stiftzuhaltungsschloss gesteckt wird, verrät tatsächlich den Mechanismus im Inneren, wenn man die Geräusche mit ausreichender Genauigkeit verlangsamen, isolieren und analysieren kann.

Ein solcher Trick würde viel Arbeit und Ausrüstung erfordern und wäre wahrscheinlich mühsamer, als zu lernen, wie man das Schloss auf herkömmliche Weise knackt – aber es ist eine faszinierende und ungewöhnliche Sicherheitslücke, über die man nachdenken kann.

„Unsere Forschungsgruppe nutzt Informationen aus der physischen Umgebung, die scheinbar keinen Nutzen haben, um entweder bessere Anwendungen zu entwickeln oder bestehende zu kompromittieren“, sagte der Informatiker Soundarya Ramesh von der National University of Singapore gegenüber Communications of the ACM.

„Also haben wir uns gefragt, ob wir das Geräusch, das beim Einstecken des Schlüssels erzeugt wird und das an sich keinen Nutzen hat, nutzen können, um die Sicherheit eines physischen Schlosses zu kompromittieren.“

Schlüssel greifen in Stiftzuhaltungs-Schließmechanismen ein, indem sie mit Hilfe von Beschlägen (festen Punkten) eine Reihe von Stiften in unterschiedlichem Maße nach oben drücken, so dass die Stifte alle korrekt ausgerichtet sind und sich das Schloss drehen kann. Wenn die Grate des Schlüssels die Stifte nach oben und unten verschieben, erzeugt er eine Reihe von Klickgeräuschen.

Durch die Zuordnung dieser hörbaren Klicks kann auf die Form des Schlüssels geschlossen werden, wie das Team in seiner Proof-of-Concept-Simulation gezeigt hat. Ein zusätzlicher Algorithmus nutzt diese Abstände sowie die Einschränkungen des Schlüsseldesigns – die festen Winkel der Schlüsselrippen – um die Anzahl der Möglichkeiten einzugrenzen.

Das System des Teams heißt SpiKey, und obwohl es nicht perfekt genau ist, erzeugt es eine Reihe von Schlüsselkandidaten, die ausprobiert werden können. In seltenen Fällen kann es bis zu 15 Schlüsselkandidaten geben, aber das häufigste Endergebnis sind drei Schlüsselkandidaten, von denen einer funktioniert.

Die Berechnungen sind etwas kompliziert, aber von den 586.584 möglichen Schlüsselkombinationen für ein 6-Stift-Schloss sind laut den Berechnungen und Modellen des Teams etwa 56 Prozent (330.424) anfällig für einen SpiKey-Angriff. Von diesen 330.424 Möglichkeiten können 94 Prozent der Kombinationen auf weniger als 10 Schlüsselkandidaten reduziert werden.

Die Forscher treiben ihre Idee weiter voran und weisen darauf hin, dass eine Tonaufnahme des Öffnens einer Tür gemacht werden kann, ohne so viel Aufmerksamkeit oder Verdacht zu erregen, wie der tatsächliche Versuch, das Schloss zu knacken. Ist der Schlüssel einmal gefunden, lässt sich die Tür schnell und beliebig oft öffnen.

Der Trick ist beeindruckend, hat aber auch seine Grenzen: Der Originalschlüssel muss mit gleichmäßiger Geschwindigkeit in das Schloss gesteckt werden, damit z. B. die Schlüsselbisse herausgearbeitet werden können. Außerdem funktioniert es nur mit Stiftzuhaltungsschlössern, die nur eine, wenn auch allgegenwärtige, Schlossart darstellen.

Die Forscher weisen auch darauf hin, dass für die Verwendung eines Smartphones, um den Ton des Entriegelungsvorgangs aufzuzeichnen, das Telefon ziemlich nah am Schloss sein muss – was, äh, wahrscheinlich Verdacht erregen wird. Versteckte Mikrofone oder das Hacken des Telefons oder eines anderen Geräts von jemandem, um die Aufnahme zu machen, sind alternative Möglichkeiten, merkt das Team an.

Obwohl der Hack in seiner jetzigen Form ziemlich kompliziert ist, ist er zumindest plausibel – und es ist der Einfallsreichtum von Sicherheitsforschern, die versuchen, mögliche Schwachstellen zu antizipieren, der uns letztendlich alle sicherer machen kann. (Oder potenziellen Dieben neue Ideen geben.)

„SpiKey bietet von Haus aus viele Vorteile gegenüber Lockpicking-Angriffen, unter anderem einen geringeren Aufwand für den Angreifer, so dass ein Laie einen Angriff starten kann, ohne Verdacht zu erregen“, schlussfolgern die Forscher in ihrem Paper.

Die Forschungsarbeit muss noch begutachtet werden, wurde aber bereits auf dem International Workshop on Mobile Computing Systems and Applications (HotMobile 2020) in Texas vorgestellt. Sie können ein Papier über die Arbeit hier lesen.

[Übersetzt mit www.DeepL.com/Translator (kostenlose Version)] «

David Nield :: science alert :: 21.08.2020 :: Security Researchers Found a New Way to Pick Locks, Using Only The Sound of The Key :: https://www.sciencealert.com/researchers-can-break-locks-just-from-the-sound-of-a-key-being-inserted

Sollte sich der Urheber des hier verlinkten und zitierten Artikels durch das Posten dieser Verlinkung oder dem ganz oder teilweisen Zitieren aus dem verlinkten Artikel in seinem Urheberrecht verletzt fühlen, bitte ich um einen kurzen Kommentar und einen Beleg der Urheberschaft. Das Beanstandete wird dann unverzüglich entfernt. Ich möchte, durch die Zitate, meine LeserInnen motivieren, den vollständigen Artikel des Urhebers zu lesen. | Eventuelle Werbung in optischer Nähe zu diesem Artikel stammt nicht von mir, sondern vom Social-Media-Hoster. Ich sehe diese Werbung nicht und bin nicht am Verdienst oder Gewinn beteiligt.


Impressum/Datenschutz/Datensicherheit

Über Red Skies Over Paradise

»Das Leben ist nie etwas, es ist nur die Gelegenheit zu einem Etwas.» - Friedrich Hebbel
Dieser Beitrag wurde unter RSOPLink abgelegt und mit , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu » Das Geräusch eines Schlüssels, der in ein Schloss gleitet, …

  1. tomfmr schreibt:

    „Informationen aus der physischen Umgebung, die scheinbar keinen Nutzen haben,“ sind mir grundsätzlich sympathisch. Würde man nur die nützlichen Dinge beforschen, dann hätten Diebe womöglich ziemlich freien Zugang… Nebenbei: „Lockpicking-Angriffe“ ist auch ein Bonmot, muss ich mir definitiv merken.
    LG Tom

    Gefällt 1 Person

  2. sori1982 schreibt:

    Na servus! Dabei ist mir selbst hin und wieder der Gedanke gekommen, ob die mutmaßlichen DiebInnen den PIN-Code heraushören können, wenn ich vor dem Geldautomaten stehe und meine heiligen vier Ziffern eintippe.
    Aber wenn sogar in diesem Bereich geforscht wird, scheint mir mein Gedanke doch nicht so abwegig.

    Gefällt 1 Person

    • Ja, das Geräusch der Tastatur beim Tippen, die Anschläge können in Buchstaben umgewandelt werden.

      Sogar das: wenn Menschen sich in einem Raum unterhalten und eine Chipstüte steht auf dem Tisch, kann aus den Bewegungen der Chipstüte durch die Schallwellen der Sprechenden, das Gesprochen aufgezeichnet werden. Das funktioniert auch mit den schwanken Lichtwellen einer Deckenlampe oder Tischlampe.

      Man hat auch schon erste Erfoge erzielt (unter Laborbedingungen) Gedanken zu lesen.

      Davon abgesehen:
      In der Serie „Büro der Legenden“/“Le Bureau des Légendes“ wirde so nebenbei der neuste Stand geheimdienstlicher Technik gezeigt.

      Auch der RFID-Chip in deiner EC-Karte/Kreditkarte kann nun heimlich und individuell ausgelsen werden (Bewegungsprofil), z.B. in dem ein Scanner rechts und links im Türrahmen verbaut wird.

      Genau. Na Servus. Liebe Grüße, Bernd

      Gefällt 3 Personen

Hinterlasse hier deinen Kommentar und beachte dabei das Menü/die Seite 'Impressum/Datenschutz/Datensicherheit'. Mit dem Absenden dieses Kommentars erklärst du dich mit der Speicherung und Verarbeitung deiner Daten durch *.wordpress.com einverstanden:

Bitte logge dich mit einer dieser Methoden ein, um deinen Kommentar zu veröffentlichen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.