Tysk gennembrud i brugen af smartphones som husnøgle

Med NFC-teknologi, en stand-alone app og krypterede, digitale poletter har tyske forskere opnået et gennembrud i brugen af smartphones som husnøgler hjem til villaen.

Vi har hørt det før: Din smartphone vil inden for få år blive dit primære betalingsmiddel, din letteste vej til flybilletter i lufthavnen og endda til brug som husnøgle hjem til villaen.

Men nu er tyske forskere er rykket et stort skridt nærmere i brugen af smartphones til at låse hoveddøren op på en mere sikker måde, end hidtil set.

ShareKey, som forskerne fra Fraunhofer-institutet i Darmstadt kalder nøglen, kombinerer Near Field Communication (NFC), krypterede, digitaler poletter med koder og en app, der adskiller dine følsomme data fra andet data og andre apps på din telefon.

Det skriver Fraunhofer Instituttet på sin egen hjemmeside.

ShareKey app'en i aktion. NFC-teknologi gør det muligt blot at holde telefonen hen over en modtager på døren. Foto: Fraunhofer Institute

Konkret betyder det, at når du installerer ShareKey app’en på din smartphone, vil du modtage en krypteret kode, som app'en så at sige er pakket ind i.

Når du så aktiverer NFC-teknologien ved holde telefonen tæt på dørens modtager og får sendt en ny aktiveringsnøgle, skal du altså både bruge din oprindelige polet, som fulgte med app’en og en ny, du får sendt i det øjeblik, du holder telefonen hen til døren.

Netop den løsning går ShareKey til en langt mere sikker løsning, end de forsøg, man tidligere har set på markedet for smartphone-husnøgler til hverdagsbrug, mener Alexandra Dmitrienko, en af forskerne bag løsningen.

»Selvom nogle skulle hacke den udveksling af oplysninger, som sker ved NFC, er det umuligt for uvedkommende at få adgang til din digitale nøgle. Dette skyldes, at skal man åbne hoveddøren, kræver det både oplysninger fra både det krypterede, digitale polet, som sendes til brugeren, og fra den præinstallerede app,« udtaler Alexandra Dmitrienko i instituttets pressemeddelelse.

Smartphone-husnøglerne vil også kunne udvides, så man kan sende tidsbegrænsede nøgler til eksempelvis varmemesteren i opgange, hvis han skal aflæse målerne.

ShareKey vil blive præsenteret på CeBIT-messen, der afholdes i Hannover i Tyskland i marts måned.

Kommentarer (28)

Johnnie Hougaard Nielsen

Nøgler er besværlige og dyre at skifte. Mange steder er de også allerede afløst af en key fob, eller et adgangskort af en slags. Det kan give en del fordele ikke at skulle udlevere en fysisk dims, og at adgangen kan styres selektivt.

Et spørgsmål bliver så hvad nødplanen er hvis batteriet er fladt....

David Rechnagel Udsen

Der er en del gode aspekter i at kunne give (begrænset) adgang i en tidsbegrænset periode. Elektroniske nøgler kan også være lettere at sende rundt og gøre ubrugelige end fysiske ditto.

Nu virkede det som om at hovedeksemplet i artiklen var »villaen«: Der det virkelig noget man ville dele midlertidige nøgler ud til? Virksomheder - ihvert fald store - har allerede lignende system hvor de kan give folk midlertidig adgang via et kort.

Det er lige omvendt. Det er noget låsesmedene har fundet på.

Så de er træt af at skomageren stadig må lave de såkaldte »ulovlige nøgler«? Hehe.

Hvad er sket oftest for dig: Du har glemt dine nøgler eller din telefon er løbet tør for strøm? Og bemærk, du kan stadig glemme dine nøgler, nu er det bare din telefon du smækker inde.

Gisp, det tænkte jeg slet ikke på. Hvorfor så ikke bruge kortløsningen? Det er vel lettere end at lave midlertidige fysiske nøgler, og man mister ikke risikoen ved at den løber tør for strøm.

Thorvald Johannes Pedersen

Det er ikke alle der har en smartphone eller vil have en. Men ellers synes jeg såmænd det er smart nok. Men hvorfor ikke bare bruge kort-nøgle løsning? Det system findes og det virker. Eller disse brikker, som man kan have siddende i sit nøglebundt - fordi der vil gå en rum tid, før almindelige nøgler bliver ualmindelige. Så man vil - i hvert fald en overgang - skulle bruge både almindelige nøgler og elektroniske nøgler.

Johnnie Hougaard Nielsen

Men hvorfor ikke bare bruge kort-nøgle løsning? Det system findes og det virker. Eller disse brikker, som man kan have siddende i sit nøglebundt - fordi der vil gå en rum tid, før almindelige nøgler bliver ualmindelige.

Det koster mere, og fylder mere i lommen, når det efterhånden bliver undtagelsen at dette bliver den udløsende faktor for at skifte til smartphone. Det må jo så også ses i sammenhænge med forventningen om at smartphones vinder indpas til forskellige former for betalinger og medlemsskab.

Eller bare som en logisk fortsættelse af tendensen til at smartphones indarbejder funktionen fra andre lomme-gadgets, som fx de små lommelygter til nøgleringe.

Altså: Hvorfor ikke?

Carsten Haugaard

NFC har sikkert sine anvendelsesområder, men der findes en bedre løsning fra det dansk udviklede og producerede AccessZone. AccessZone udnytter den unikke Bluetooth id, som alle Bluetooth enheder har. Med en godkendt Bluetooth mobil (en hvilken som helst) åbner låsen inden du er henne ved døren. Man behøver ikke have nogen nøgle, kort eller andet i hånden og har dermed hænderne frie til andre gøremål. Reaktionsafstanden kan justeres fra 10 cm til 10-12 meter på hver enkelt gate controller. Gate controlleren monteres på den indvendige side af det sikrede område, så ingen kan se den eller skade den. For klasse 1 Bluetooth enheder kan afstanden justeres fra 10 cm til teoretisk 1 km med retningsbestemt antenne. Man kan valgfrit benytte pinkode, men selv uden, er sikkerheden for dette system de kendte RFID kort langt overlegen. Læs mere på www.mvc-data.dk
På grund af den store kommercielle succes for Bluetooth findes det allerede i alle mobiltelefoner, hvorimod NFC er nyt og ikke drevet af de samme markedsmekanismer som BT, så udbredelsen er pt ikke ret stor.

Henrik Madsen

Så når man kommer hjem en sen aftenstund og ens mobil er løbet tør for strøm så er man da seriøst på skideren.

Man kan ikke låse døren op og man kan ikke ringe efter hjælp.

Virkeligt gennemtænkt.

Carsten Haugaard

Der er kun en hypotetisk mulighed for at stjæle et BT id, og da AccessZone ikke scanner efter mulige brugere, men kun spørger om nogle af de godkendte er inden for adgangszonen, kan man ikke scanne systemet og forsøge at hacke det.
Så du har heller ingen bil, den kan jo køre tør for benzin?
Du kan jo også miste din nøgle, med de ulemper, der er forbindet med det.
Man kan stadig låse døren op med en alm. nøgle.

Johnnie Hougaard Nielsen

Så når man kommer hjem en sen aftenstund og ens mobil er løbet tør for strøm så er man da seriøst på skideren. Man kan ikke låse døren op og man kan ikke ringe efter hjælp.

Nu er problemer jo mest at betragte som en chance for at finde løsninger. Basal NFC funktionalitet kan klares uden strømforsyning, og det kunne fx også laves sådan at aflæsnings enheden leverer strøm (analogt med trådløs opladning af en smartphone).

Men selvfølgelig er der brug for en form for nødplan, for en smartphone kunne jo også være bortkommet eller smadret grundigt. Det er dog ikke grundlæggende anderledes end andre former for adgangskontrol.

Johnnie Hougaard Nielsen

Der er kun en hypotetisk mulighed for at stjæle et BT id

Det lyder som en ret risikabel antagelse. Jeg ser ikke denne id som mere sikker end andre MAC koder, og ud fra en antagelse om at BT skal kunne bruges til andre ting end blot denne ene, kunne det være for upraktisk at simulere sikkerhed ved at gøre den usynlig.

Og det at andre har anledning til at kende ens BT id, gør ikke de at derfor fortjener tillid omkring at kunne åbne hoveddøren.

Så jeg gentager min forhåbning om at det ikke er bærende for sikkerheden.

Carsten Haugaard

Det er ingen antagelse, jeg kan dokumentere, at med selv meget avanceret udstyr til rådighed, er det ikke muligt at hacke en AccessZone
gate controller. Hvordan vil du gøre det?
Selv om du kender en godkendt BT id, kan du ikke bruge den til noget, med mindre, at du kan clone chippen, og det nødvendige udstyr til at gøre dette, har kun producenter af BT chips til rådighed.
Desuden skal den hackede part selv medvirke ved at godkende parringen.
Under alle omstændigheder taler vi om et sikkerhedsniveau, som er mange gange større end det nøgler, RFID kort, kodetastaturer og andre almindeligt brugte kontrolenheder kan tilbyde. Du er velkommen til at forsøge....

Johnnie Hougaard Nielsen

er det ikke muligt at hacke en AccessZone gate controller.

Jeg har slet ikke været inde på muligheden af at hacke en sådan. På den anden side bliver jeg dog nu automatisk ret skeptisk når nogen påstår at det ikke er muligt. Det indikerer højst at de endnu ikke ved hvordan.

Selv om du kender en godkendt BT id, kan du ikke bruge den til noget

En enkelt søgning på Internet ledte, ikke overraskende, til det modsatte resultat. Gode søgeord er SpoofTooph, JP Dunning og Breaking Bluetooth By Being Bored.

Værdien af BT id som stærk sikkerhedsparameter er altså lidt illusorisk. Men da jeg slet ikke har studeret AccessZone, kan jeg blot nøjes med at gentage min forhåbning om at BT id ikke er bærende for sikkerheden.

PS. Jeg synes at det ville klæde sig bedre at nævne at du den 1. november 2012 er ansat "som salgsdirektør med ansvar for salg og markedsføring af AccessZone produkter i Danmark og Norden". Jeg betragter altså dine løse påstande her som ren markedsføring.

Carsten Haugaard

Det er korrekt at jeg er ansat til at markedsføre AccessZone adgangskontrol, det er ingen hemmelighed.
Min interesse er at finde ud af, om vores produkt har en svaghed, som vi ikke selv har opdaget. Aalborg Universitet har forsøgt at hacke systemet uden held, jeg har en rapport om forsøget, og selv om de havde avanceret udstyr til rådighed, og vi gav dem oplysninger som BT id, lykkedes det ikke.

JP Dunning fortæller, hvordan man kan genere en mobil ejer, og ikke, hvordan man kloner en BT enhed til en anden identitet. Tidligt i præsentationen refererer han til "visse CSR chips" hvor dette var muligt, men de er ikke på markedet længere. Desuden kræver processen at ejeren af mobilen accepterer eller godkender requesten fra hackeren.

Som tidligere nævnt, spørger gate controlleren enkeltvis, om der er godkendte id'er indenfor rækkevidde, ikke om der er tilgængelige BT enheder, med andre ord skal man på forhånd have klonet et BT id, inden man forsøger at få adgang, det bliver sgu' svært... men du har ret, det kan lade sig gøre, hvis du har tiden og adgang til udstyr, som normalt kun BT chipproducenter har.

AccessZone er sikkert ikke verdens sikreste system, men sikkerheden er betydeligt højere, end den er for lignende systemer på markedet, og så er det bekvemt at bruge og administrere. Sammenlignet mede NFC systemet, behøver man ikke anskaffe en telefon med NFC, selv de ældste BT telefoner kan bruges.

Man kan selvfølgelig stjæle en godkendt telefon, ligesom man kan stjæle en nøgle eller et kort, men hvis man har tilknyttet en pin kode, lukker systemet den pågældende bruger ved 3. forkerte forsøg, hvilket tastaturløsninger foreksempel normalt ikke gør, da det i givet fald så blokerer samtlige brugere og ikke kun den aktuelle. Bliver en telefon stjålet, tager det kun et øjeblik at blokere adgang fra den pågældende telefon.

Johnnie, du har åbenbart ikke nær-læst det, jeg har skrevet tidligere, eller brugt tid på at sætte dig ind i det, som du selv skriver. Det burde du måske have gjort, inden du beskylder mig for at argumentere med "antagelser" og "løse påstande".

Johnnie Hougaard Nielsen

Tidligt i præsentationen refererer han til "visse CSR chips" hvor dette var muligt, men de er ikke på markedet længere.

1) Der kan findes en del af sådanne chips i eksisterende udstyr.
2) Med normal udviklingsteknik, som FPGA, vil det ikke være urealistisk at lave en "diskret produktion"

Desuden kræver processen at ejeren af mobilen accepterer eller godkender requesten fra hackeren.

Hvis det lykkedes at klone id-siden af bluetooth, ligger sådanne krav om at have accept fra "ejeren af mobilen" udenfor hvad bluetooth i sig selv giver mulighed for. Hvad AccessZone måtte gøre yderligere ligger udenfor hvad jeg har haft anledning til at overveje.

med andre ord skal man på forhånd have klonet et BT id, inden man forsøger at få adgang, det bliver sgu' svært...

Ikke så urealistisk som du hævdede.

du har åbenbart ikke nær-læst det, jeg har skrevet tidligere,

Som klart nævnt har jeg ikke brugt tid på at reviewe AccessZone. Det ville kræve betaling, og mere konkret relevant ekspertise fra min side.

Jeg fastholder blot én lille central pointe. BT id er ikke egnet som bærende for høj sikkerhed. Den er ikke sikkert hemmeligholdt, og den kan klones. Ikke af en "dum røver", men det er ikke noget som kræver meget store ressourcer.

inden du beskylder mig for at argumentere med "antagelser" og "løse påstande"

Jeg synes nu ellers at disse ord ret præcist dækker dine udmeldinger omkring ubrydeligheden af BT id. Resten af AccessZone har jeg ikke haft anledning til at forholde mig til, og har altså ikke nogen holdning til, hverken positivt eller negativt.

Men det er jo logisk at din dagsorden er at fremme tilliden til det produkt som du vil have købere til.

Carsten Haugaard

Vi taler stadig om to forskellige ting, som du enten ikke kan eller vil se forskellen på.
Jeg påstår ikke, at dette er verdens sikreste anlæg, det er ikke formålet, kun at give større brugervenlighed og højere sikkerhed end de gængse systemer tilbyder. De muligheder du taler om er hypotetiske, og ikke relevante for adgangskontrol til almindelige virksomheder og boliger.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

GPS - geometriske produktspecifikationer - informationsmøde

Hvornår: 2015-11-16 Hvor: Storkøbenhavn Pris: kr. Gratis

Den serviceorienterede kundeservicemedarbejder

Hvornår: Hvor: Storkøbenhavn Pris: kr. Efter aftale

MCP 20337: Enterprise Voice and Online Services with Microsoft Lync Server 2013

Hvornår: 2016-10-10 Hvor: Storkøbenhavn Pris: kr. 18750.00

MSI pakker. Videregående kursus

Hvornår: 2015-09-21 Hvor: Østjylland Pris: kr. 14000.00

Diplomuddannelsen i Projektledelse

Hvornår: Hvor: Efter aftale Pris: kr. Efter aftale