[发明专利]一种Hitag2密码的破解方法和防御方法

说明书

本发明公开了一种Hitag2密码的破解方法和防御方法，属于嵌入式系统安全领域。本发明将破解的重点放在破解Hitag2密码的中间变量state上，利用短时间内监听采集的多条数据的IV高位数据相同的特点，推导出多条数据对应的state的部分数据位也相同，再利用多条数据中的密文计算state中相同的部分数据位各种候选值的概率得分，找出概率得分大于中值的候选值，再结合少数不相同数据位组合得到state的少量组合，再利用所有state进行滚码得到少量密文组合，最后将这些密文发送到密文接受方进行破解。同时本发明还实现了一种Hitag2密码的防御方法。本密码破解方法将暴力破解时的逐位指数增长变成了逐位倍数增长，能够将计算量降低7个数量级以上，极大的减小了破解时长和计算资源。

技术领域

本发明属于嵌入式系统安全领域，更具体地，涉及一种Hitag2密码的破解方法和防御方法。

背景技术

Hitag2密码是由安全芯片领域的国际巨头恩智浦公司发明并在其芯片产品上使用的一种密码，主要在汽车RKE系统中使用。基于Hitag2密码的芯片被全球各大汽车厂商广泛采用，目前全球有上亿辆汽车使用了Hitag2芯片来承担安全任务。

汽车钥匙在和RKE系统进行通信时，数据传输通常是单向的，即钥匙只发送数据而RKE系统只接收数据，钥匙和RKE系统使用一个自增的计数器来进行同步，具体过程是：钥匙将计数值(或和按键值拼接)作为一个IV值，然后用密钥key进行加密，之后将密文、计数值的低位值、按键值及其它必要数据整合发送给RKE系统；RKE系统接收到钥匙发送过来的数据后，会提取出IV值并用和钥匙相同的秘钥进行加密，然后比对密文，若密文相同则视为认证成功并执行相关操作，否则视为认证失败而不进行操作。钥匙每进行一次加密，计数器值会自动增加1，且该动作不可被终止或逆转。RKE系统每次认证成功后都会将计数值和钥匙的计数值进行同步。一旦RKE系统发现从接收数据中提取出的计数值小于当前值又或是太大而超过了一个范围，一律视为认证失败。

Hitag2密码的秘钥为48位。目前针对Hitag2密码的破解手段主要还是暴力破解，但采用暴力破解的计算量高达2^48，无论是计算资源耗费和时间花费都非常巨大；目前已有研究人员提出在暴力破解基础上使用彩虹表等方法优化计算量，但必须要采集大量的数据并且耗费较大的存储资源，且优化效果有限。巨大的计算量严重制约了Hitag2密码破解手段的实用性。但是，Hitag2密码配合RKE通讯协议使用时存在的一些缺陷使得其存在着被快速攻破的可能。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种Hitag2密码的破解方法和防御方法，其目的在于利用短时间内监听采集的多条数据的IV高位数据相同的特点，计算state中相同的部分数据位各种候选值的概率得分，找出概率得分大于中值的候选值，再结合少数不相同数据位组合得到state的少量组合，再利用所有state进行滚码得到少量密文组合，最后将这些密文发送到密文接受方进行破解，由此解决现有Hitag2密码破解方法对计算资源、存储资源和时间花费要求巨大的技术问题。

为实现上述目的，本发明提供了一种Hitag2密码的破解方法；

所述破解方法具体为：监听获取多条待破解的数据trace，从中截取信息矢量IV和密文KS_t，保证IV只有低F位数据不相同；利用初始化之后的线性反馈移位寄存器状态state中低(48-F)位数据相同的特性，从其中选取n位数据，计算其所有组合输出正确KS_t的概率得分score_t；保留score_t最高的一部分n位数据，之后对此部分n位数据进行位数扩展并计算其score_t，直到扩展到n＝(48-F)，保留score_t最高的一部分低(48-F)位数据，再补齐高F位数据，并选取多条KS_t进行验证，通过所有KS_t验证的低(48-F)位数据即为真实值；利用真实值参与滚码得到破解密文；其中，4≥F≥12，优选F＝4；n≤(48-F)，优选n＝16。