简易破_解Ｍ１卡的方法

cocotan_2009

飞利浦的Ｍ１卡由于它的高安全性在市场上得到广泛应用，比如我们乘车用的公交卡，学校和企业食堂的饭卡等等．它共有1K字节的EEPROM,共分成16个扇区,而且每个扇区有独立的密匙(6个字节的密码),在通信过程中首先要验证密匙才能读写数据.它的关键技术在于密匙的验证采用三重加密的ＤＥＳ算法,(即:读写器与卡之间传送的密匙是通过随机数加密的),不象早期的EMID卡和atmel的T557卡都是明码传输,所以在开始一度认为是最安全的卡，被广泛的当做电子钱包使用．兄弟们那里面放的就是钱啊！
  自从08年以后有人成功破_解了M1卡,曾一度造成恐慌.可想而知它的危害是有多大.也就是说别人随便就可以复制你的卡拿去消费,甚至自己就可以写数据往里面充值,08年前的NXP和08年后的NXP在世人眼里已经大不一样了.至于破_解细节也不是我们一般人能够轻易掌握的．大概原理也就是通过天线截取读写设备对卡进行扣费或充值的码流，然后通过计算分析出它的密码，它的前提是你首先要破_解这种卡的逻辑加密算法，然后通过逆向工程计算出密匙，它的逻辑加密算法只能通过爆力破_解，打开芯片内部观看逻辑电路得到的．呵呵我想复旦微也是这么干才得到Ｍ１卡逻辑加密算法的，不然他们怎么能生产出Ｍ１卡和基站芯片的（开个玩笑）．好了，说了一大堆废话都跑题了，还是回到主题．我也是不经意想到这种方法，但没通过验证．只是把想法贴出来让大家讨论．如果真行的话，那么首先声明不要使用在非法的活动上面，本人慨不负责！
先看下图，我们知道和Ｍ１卡通信都是通过专用的基站进行的，这里使用的是FM1702

1702与MCU的接口 (原文件名:SPI接口.JPG)


象这样的芯片有很多种但大体上差不多,并都是兼容的,比如飞利浦的的RC500,RC522.RC530,复旦微的FM1702,1701等等.而且它们和MCU的接口都是常用的串口,有IIC. SPI, UART. 我的想法是即然复杂的逻辑加密算法我们搞不懂但如果我们能得到未加密的明码呢,那不是破_解太简单了吗?你可能在说我是枉想．确实，如果你想截取基站和卡之间的数据流得到明码那真是枉想．但我的想法是ＭＣＵ和基站之间的串口通信总该是明码吧．我们是不是可以从线路上下手．直接侦听SPI的数据．也就是说首先你要得到一台读写设备和一张卡，然后通过示波器存贮一次扣费操作的整个SPI数据流.如下图：
londkeyr的部分SPI数据 (原文件名:TEK0000.jpg)


这个数据流中一定有某一个扇区的密匙.而且是明码的.如果没有它就不可能完成认证.我们再来看看Load_key程序的流程.:
/****************************************************************/
/*名称: Load_key */
/*功能: 该函数实现把 MCU中的密钥存入FM1702的keyRevBuffer中*/
/*输入: *uncoded_keys:未格式化的原始密钥/
/*输出: True: 密钥装载成功*/
/* False: 密钥装载失败*/
/****************************************************************/
uchar Load_key(uchar  *uncoded_keys)
{
    uchar temp;
    uchar coded_keys[13];
   
    M500HostCodeKey(uncoded_keys, coded_keys);// 转换密钥格式
        temp = Command_Send(12, coded_keys, LoadKey);//密钥缓冲区中的密钥存入FM1702的keyRevBuffer中
        temp = SPIRead(ErrorFlag) & 0x40;
        if (temp == 0x40)
        {
                return false;//=0
        }
        return true;//=1
}

密匙是存在uncoded_keys这个BUFFER区共6个字节,在传给FM1702之前要做一个简单的格式转换,并非加密.是通过M500HostCodeKey这个函数实现的;

///////////////////////////////////////////////////////////////////////
// 转换密钥格式
///////////////////////////////////////////////////////////////////////
uchar M500HostCodeKey( uchar  *uncoded, uchar *coded)   
{
    //char  status = FM1702_OK;
    uchar  cnt = 0;
    uchar  ln  = 0;     
    uchar  hn  = 0;      
    for (cnt = 0; cnt < 6; cnt++)
    {
        ln = uncoded[cnt] & 0x0F;
        hn = uncoded[cnt] >> 4;
        coded[cnt * 2 + 1] = (~ln << 4) | ln;
        coded[cnt * 2 ] = (~hn << 4) | hn;
    }
    return FM1702_OK;
}
这个函的的功能只是将6个字节的原码拆开成12个字节然后放在coded_keys区,它把每个字节高四位和低四位拆开移位后加上它们的反码．（所以得到密匙后还要一个简单的还原．）

temp = Command_Send(12, coded_keys, LoadKey);//密钥缓冲区中的密钥存入FM1702的keyRevBuffer中
这句才是关键．其实我们需要的也只有这一段数据．它先是通过SPI口发送LoadKey命令(0x19),然后紧跟着就是12个被简单转换了的密匙．看上去好象我们一定要知道它的原程式才可以做到一样，其实也没必要，我只是为了说明才贴上代码．其实我们侦测到数据流后只要找到LoadKey命令0x19那么后面一定就是密匙，如果让人工把SPI时序翻译成数据的话确实要精力，不知有没这种解SPI时序的软件，跟据波形可以直接得到数据．
　以上只是我个人的想法，知识有限，望各位高手不吝赐教．

Appcat

看来帖子的内容，我只能感觉：楼主标题党啦

任何一个成熟的加密系统，不会把系统安全全部依靠几个密码或者加密算法，而是有不同手段综合起来实施的。

现在大量的消费卡还都是使用M1，这就是现状。

MI的消费系统现在基本都是一卡一密，不同的卡，密钥完全不一样，计算密钥是通过卡号来，一般会采用PSAM芯片来计算密钥。
你解惑了其中一张卡的密钥，不等于你可以对其他卡可以操作。消费卡的金额一般都有后台系统，可以很容易发现卡内金额出现了问题。

jason_more

lz多虑了

cocotan_2009

回复【1楼】Appcat 苹果猫
-----------------------------------------------------------------------
你说的成熟的加密系统是有不同手段综合起来这个没错，M1卡还在大量使用也是现实，
但我说的读卡器芯片和MCU之间通信的手段是没有任何加密的你得存认，而且中间确实要传输密匙。
我这个只能是说从MCU和基站芯片之间获得密匙。
消费系统现在基本都是一卡一密也没错，甚至不是一卡一密而是一卡16密，即每个扇区一个密码
而且每个消费系统密码不一样，我说的方法破_解的密匙只是曾对某一系统而言。
你如果说后台还有数据库，那我得到你的卡密码复制一张跟你一样的卡,数据库分得出来哪张是真的吗？

linghu2

回复【3楼】cocotan_2009  

你如果说后台还有数据库，那我得到你的卡密码复制一张跟你一样的数据库分得出来哪张是真的吗？
-----------------------------------------------------------------------

你看看深圳通就知道了,实时对数据!怎么破_解?

cocotan_2009

回复【4楼】linghu2 令狐二中
-----------------------------------------------------------------------

深圳通我是不太了解，但
对于M1卡来说，只要我破_解了你的扇区密码那么我完全可以克隆一张跟你一模一样的卡，包括UID号
那我拿这张克隆卡去坐车你还能分出来？如果能，那一定是克隆卡和原卡还有差别

122402902

回复【1楼】Appcat 苹果猫
-----------------------------------------------------------------------

楼主用过FM1702 RC500 RC531没有
简单看下FM1702的结构就知道没多少人会明码传KEY的 RC522除外

linghu2

回复【5楼】cocotan_2009  

对于m1卡来说，只要我破_解了你的扇区密码那么我完全可以克隆一张跟你一模一样的卡，包括uid号

那我拿这张克隆卡去坐车你还能分出来？如果能，那一定是克隆卡和原卡还有差别
-----------------------------------------------------------------------

实时对数据!汽车到终点站就把数据上传到数据库里,有异常就黑名单了

你做出来没有区别也不行,因为你已经进入了黑名单了,变无效卡了,明白不?

z421868436

回复【4楼】linghu2 令狐二中
回复【3楼】cocotan_2009   
你如果说后台还有数据库，那我得到你的卡密码复制一张跟你一样的数据库分得出来哪张是真的吗？
-----------------------------------------------------------------------
你看看深圳通就知道了,实时对数据!怎么破_解?
-----------------------------------------------------------------------

深圳通不是M1卡  是CPU卡
早期的时候是type C的
现在type A的也有（我手头的就是）

cocotan_2009

回复【7楼】linghu2 令狐二中
-----------------------------------------------------------------------

那你的意思就是我的深圳通每天只能坐一趟车？我只要两张卡不在同一时间段里出现就行
你的原卡在休息我的克隆卡还不能用？

ssaweee

回复【9楼】cocotan_2009  
-----------------------------------------------------------------------

你怎么知道两张卡会不在同一时间出现?

举个例,如果原卡持有人到了A地,但是过了不久又在从A不能在间隔时间内赶到的B地上车,也有问题.

linghu2

回复【9楼】cocotan_2009  

那你的意思就是我的深圳通每天只能坐一趟车？我只要两张卡不在同一时间段里出现就行
你的原卡在休息我的克隆卡还不能用？
-----------------------------------------------------------------------

我只要两张卡不在同一时间段里出现就行,他不管在哪里出现的,只管钱,卡上面的钱和你充值的钱是否对应!

你克隆卡要充值才可以一直用,破_解没有意义的

PS,一般的门禁卡是什么,破_解这个才有点用哈!

cocotan_2009

所以说克隆卡还是可以用的，我要克隆的话肯定会把里面的钱包数据一起克隆，但你用完了要自己往里面充值的话就有问题，因为扣费端的数据库你没办法修改

cocotan_2009

各位网友：我们暂不谈破_解和克隆M1卡有没什么作用的问题，必竟这种做法是违法的
本帖旨在讨论M1存在的安全漏洞，是为了更好的防范此类事情的发生。

cocotan_2009

回复【10楼】ssaweee
-----------------------------------------------------------------------

至于门禁系统的话跟本上谈不上破_解，根据我的了解，市场上百分之八九十的门禁系统跟本就不读写扇区，只获取ID号。但酒店锁除外。

skynet

你说了半天就是克隆卡,不是破_解卡,是全盘克隆,这个在5年前,芬兰的几个大学生就搞出来了.还有演示视频呢,用1个像网球拍一样的东东,去读1下你的卡片,然后全盘克隆到1张白卡上面.
破_解密码是不可能的.他是连密码一起复制

cocotan_2009

回复【15楼】skynet 青青草原
-----------------------------------------------------------------------

大哥你要克隆卡的话一定要破_解密码才行啊，不然你怎么往里面写数据。你说的芬兰的几个大学生就搞出来的那是EM4100卡吧，那个是电子标签，没有任何加密可言。只要有125K的磁场就会循环输出64BIT固定ID。出租屋大门上使用的那个钥匙扣卡就是这种。复制这种卡还要这么麻烦吗？只须两个动作完成。   1.拿钥匙扣卡放在读卡器一面读一下。2.拿一张空白的T557卡放在读卡器上面写一下就就搞定.
我上班刷的考勤卡也是这种卡,以前上班老丢在家,结果我就复制几张放在办公室备用,哈哈!!!!!!

linghu2

回复【16楼】cocotan_2009  

你说的芬兰的几个大学生就搞出来的那是em4100卡吧，那个是电子标签，没有任何加密可言。只要有125k的磁场就会循环输出64bit固定id。出租屋大门上使用的那个钥匙扣卡就是这种。复制这种卡还要这么麻烦吗？只须两个动作完成。&#160;&#160;&#160;1.拿钥匙扣卡放在读卡器一面读一下。2.拿一张空白的t557卡放在读卡器上面写一下就就搞定.
我上班刷的考勤卡也是这种卡,以前上班老丢在家,结果我就复制几张放在办公室备用,哈哈!!!!!!
-----------------------------------------------------------------------

这个能破_解吗,不是克隆!

cocotan_2009

回复【17楼】linghu2 令狐二中
-----------------------------------------------------------------------

这个要破扇区密码，没密码你读不出扇区数据怎么克隆？

wisebaby

即便是你破_解了一套密钥系统，你会发现，很快第二套，或者第三套密钥系统就启用了。

呵呵，消费卡产品里面基本不可能只有一套密钥体系。

wisebaby

【5楼】 cocotan_2009
对于M1卡来说，只要我破_解了你的扇区密码那么我完全可以克隆一张跟你一模一样的卡，包括UID号
……
-----------------
UID 都一样，得投资多少钱？

目前可行？

Appcat

任何一个单独的保密或者加密手段都是不全面的，包括M1卡，我称之为不全面，而不是像楼主在13楼说的“本帖旨在讨论M1存在的安全漏洞，是为了更好的防范此类事情的发生。”成了安全漏洞了。这个帽子扣的有点大。

再者，任何一个加密系统的安全都不是绝对的，不能从绝对的角度去考虑问题，而是要使用代价这个概念进行衡量。一旦破_解某个系统的代价超过了这个系统保护的价值，或者这个破_解这个系统的代价个人以及团体无法承受，那么就可以说这个系统在某个时期某个范围内是安全的。

楼上wisebaby说的就是这个意思。

wisebaby

【21楼】 Appcat 苹果猫

诠释的很好，我亦是此意。

122402902

回复【8楼】z421868436
-----------------------------------------------------------------------

深圳通事typeA协议的 我用1702读出过UID

eiglxl

这不叫破_解。

cocotan_2009

苹果猫说不叫漏洞叫不全面也行 ,这个不重要 ,你也可以说 windows做的不全面 .病毒利用它的不全面来攻击它 . 至于你说的破_解代价问题 ,如果你同意我上面的方法破_解可行的话 ,那么代价是非常低的 .                                               
我到是非常想听听各位对截取 spi通信的方法获得密码的可能性多发表看法 ,楼上好象有位网友提 到只有 rc522 londkey采用的是明码 ,其它的都是加过密的 ,这个我不懂 ,愿闻其详

122402902

回复【25楼】cocotan_2009
-----------------------------------------------------------------------

你没看指令有一个loadE2?

cocotan_2009

回复【26楼】122402902
-----------------------------------------------------------------------

看来122402902还是个行内人士，呵呵！！！但是我还是要反驳你，除了RC522，其它都有E2PROM没错，
难道你认为E2PROM是为了缓存KEY而做上去的吗？就算你用loadkeyE2加载，那么E2里面的KEY是飞进去的还是自带的？
不也是来自MCU或上位机吗？至少你要先写一次E2吧！

122402902

哈哈 这个我就不说了 产品级的东西 反正我有办法让他出厂的时候下载进去

wy2000

M1卡确实能破_解，可你破了能干啥呢。

sgweilong

觉得楼主说的办法可行，我本身就是做读卡器的，调试的时候为了方便还会把写入卡片的验证密码打印出来，为了方便一般也会在读卡器里面暂存根据卡片号算出来的密码。觉得加密本身只是一个手段，更多的加密是管理技巧。

比如，一卡一密，扇区mapping，数据二次加密。但是最厉害的是隔离，我交给用户的读卡器都被他们锁在密码箱里面，需要知道密码才能接触到读卡器，所以楼主的这个方法就失效了^_^

M1被破_解那是迟早的事情，因为毕竟是很老的技术了，当时的人可能没有考虑那么多，不过太复杂的技术必然带来成本的上升。

zml2006

针对卡被复制的措施：
假设 A卡现在余额100元，该金额在A卡和后台数据库均有记录。现在A卡被复制成B卡，并被消费了2元。B卡和后台数据库里的金额都是98元。现在A卡又去消费，系统就会发现A卡和后台数据库不符。这时把A卡和B卡均加入黑名单即可。
当然，如果A卡被一次消费完，这种方法起不到保护作用。

（上述方法是假设的，不代表实际存在。）

cocotan_2009

回复【30楼】sgweilong
-----------------------------------------------------------------------

所以现在的CPU卡是M1卡的好几倍啊

cocotan_2009

回复【31楼】zml2006

针对卡被复制的措施：
假设 a卡现在余额100元，该金额在a卡和后台数据库均有记录。现在a卡被复制成b卡，并被消费了2元。b卡和后台数据库里的金额都是98元。现在a卡又去消费，系统就会发现a卡和后台数据库不符。这时把a卡和b卡均加入黑名单即可。
当然，如果a卡被一次消费完，这种方法起不到保护作用。
（上述方法是假设的，不代表实际存在。）
-----------------------------------------------------------------------

我同意！

albert_w

磚家表示頂不住重播公雞的系統都是豆腐渣

shaoyidong

mark

lixupeng

学习！

KUMU

攻与防，道高一尺，魔高一丈啊！

jjcc

各位，根据鹅知道的情况：

1.M1已经在08年被破_解，有专门的破_解工具进行暴力破_解
2.被破_解的意思是：密码已经没有作用了，任何扇区都可以读写数据
3.克隆的意思是:连UID也要复制。这比较难
4.最近已经有UID可复制的M1卡，好像是4K的。价格为27美元一张，比较贵一点

hal98766

学习过

whimsy

楼上兄弟；真有这样的卡吗，我想买，有门路吗

yanglong5918

M1和S50卡已经被破_解，只需要提供一张加密的卡，解密商就可以提供16个扇区的密码。

heydude

鄙视标题党

你做个加密不得把UID、加密算法搅一起弄成密文，再放到带密码的扇区里。
别整天叫着啥啥啥的，破了密码你还得有个UID一样的卡啊

cocotan_2009

回复【42楼】heydude
鄙视标题党
你做个加密不得把uid、加密算法搅一起弄成密文，再放到带密码的扇区里。
别整天叫着啥啥啥的，破了密码你还得有个uid一样的卡啊
-----------------------------------------------------------------------

我都不肖说你，很显然你都不知道FPGA为何物！

cocotan_2009

还有无论你用什么方法计算密钥，最后就一定要和原先写入的固定密码一致，就可以对被保护的数据进行读写操作。因此无论是一卡一密的系统还是统一密码的系统，经过破_解就可以实现对非接触逻辑加密卡的解密。很多人认为只要是采用了一卡一密、实时在线系统或非接触逻辑加密卡的ID号就能避免密钥被解密，其实，使用在线系统尽可以避免被非法充值，但是不能保证非法消费，即复制一张一样ID号的M1卡，就可以进行非法消费。现在的技术使用FPGA就可以完全复制一张M1（包括UID）。基于这个原理，M1的门禁卡也是不安全的。目前国内80%的门禁产品均是采用M1的UID号或ID卡的ID号去做门禁卡，根本没有去进行加密认证。导致所有的门禁很容易几乎可以在瞬间被破_解复制;这才是我们国内安防市场最大的灾难。

zjy9430

没玩过此类东西,路过了解了解

sinoxu

楼主的做法并不可行，在有数据库支撑的情况下，你的卡在消费后就会把账户挂失掉，因为两张卡同时使用它们传输的计数就会重复而导致入库时错误，系统会把你的卡挂掉。如果不上传数据的话就没有这方面的问题。

cocotan_2009

楼上兄弟， 打个比方你到柜台上往卡里面充了100块钱，那么数据库里记录了这个ID号的卡里余额为100 元，同时你的卡里面也记录了余额为100元。现在你的卡不小心被我复制了一张一模一样的， 我拿复制卡到柜台上一次性消费掉100元，那么数据库和复制卡里均记录余额为0， 但你的原卡里面还是记录着100元，这个时候你再去消费，系统发现你的记录和数据库不一制， 不好意思黑名单。你被带去调查，但这和我有什么关系呢？呵呵！！！！

mingyuexin1981

我有个朋友有可以改变uid的M1卡 联系 13911327990

wuyalang

呵呵，要是知道公式，那就是彻底的破_解了。。

yanglong5918

回复【38楼】jjcc  无业游民
各位，根据鹅知道的情况：
1.m1已经在08年被破_解，有专门的破_解工具进行暴力破_解
2.被破_解的意思是：密码已经没有作用了，任何扇区都可以读写数据
3.克隆的意思是:连uid也要复制。这比较难
4.最近已经有uid可复制的m1卡，好像是4k的。价格为27美元一张，比较贵一点
-----------------------------------------------------------------------

现在又专门的破_解器出现了，指定扇区。一分钟就出来密码了。我们公司的部分卡片已经被破了

duanlian

不错！学习了！

Small_sand

好有意思啊

hkap

学习一下

bland

我也想把M1卡的密码直接冲掉，手中有许多密码忘记的卡，现在没有办法初始化。

我只有加密卡的设备。真烦。

lg27152856

声明不要使用在非法的活动上面，本人慨不负责

a305566

mark

END654321

看到LZ的签名，决定去面壁，哈哈

huaifeng

这个讨论还是有意义的，不过在线对比，使得非一次消费不起作用，但是想在读卡器上操作，实际上还是有困难的，如何得到读卡器？

renfei0730

mark

renfei0730

回复【25楼】cocotan_2009
-----------------------------------------------------------------------

如果有人得到了读卡器，即便是密钥存在rc**的e2prom中，loade2 怎么发挥作用呢？还不是一样被破_解，我认为关键不在卡与读卡器上，关键还是系统的构架，特别服务器端的策略，何况现在又不少商家卖破_解各扇区读写密码的软件

lambda01

楼主，是正的嘛?如果破_解了，那么我可以用一个读写器模拟成一张卡，进行刷卡消费了

Niandet

cocotan_2009 发表于 2011-8-13 08:53
回复【26楼】122402902
-----------------------------------------------------------------------

一楼的方法是对的，对于RC500，这些一般软件有一个密码初始化动作，这个动作其实就是把密码存入EEPROM。也有公司是把A码出厂即存，然后B初始化的是在用户手里完成。

现在M1卡可以唯卡破译，只是收费还有点高。

防范的办法一般都是数据对撞，发现异常就封卡，这样，最多刷一天。。。公交卡/社保卡现在基本在用这个办法。

smtgg

mark              

yanjs1016

看看。                     

sibtck

看看。。。

wolegequ

看看。。。

DirkHo

M1卡确实能被破_解，我亲自试过，只要卡片就行。我做的门禁卡密码在3分钟内被读出来，而且可以连UID一起卡隆。
话说回来，破_解了又怎样，关键是看系统是否健全。消费如果采用在线数据（卡内数据及服务器端数据），基本上拿着克隆卡也没用，只要任意一张卡卡内数据与服务器数据不相符，直接拉黑。门禁系统破_解就更没意义了，能进的地方都不重要，重要的地方都用指纹了。
总之，破_解M1只能威胁那些专家开发的三流消费系统，而且有点迫使专家提高水平的意思。对于日常用卡没多大作用。

kavihuang

lz的破解方法是能最直接拿到一张卡密钥的。当然前提你得有原生系统里的机具才行啊。你觉得你能拿到深圳通公交车上的车载机？连机器都拿不到，那你去哪里截取数据？现在破解IC卡（M1）已经是一件很简单轻松的事情了。诚如楼上所说，破解没有意义。

祥子

都是高人啊

hncjs

公交系统和好多pos系统就是偷了也没用呀，一般会用比如a密码作为减值密码，B密码做为充值密码，这个密码在保护严密的充值办公室呀。你克隆减值密码也没法充值呢

skyxjh

这个讨论还是很有意义的，楼主的想法是在能拿到上位机软件和读卡器的基础上进行破解，一般读卡器是通用的，不需要破解，能拿到上位机软件直接拷贝一份不就得了，还用破解吗？哈哈

chinmel

cocotan_2009 发表于 2011-9-23 19:20
楼上兄弟， 打个比方你到柜台上往卡里面充了100块钱，那么数据库里记录了这个ID号的卡里余额为100 元，同时 ...

可以跟踪到具体的消费时间和消费地点的....除非你和原卡主是在同一地点同时刷卡...否则结合刷卡处的监控系统，很容易查到盗刷的...

Ultra_Man

                            Mark

unifax001

关键是克咯了没用处的 有关钱的卡都是CPU卡 ID卡也就是用足门禁之类的 大街上很多配钥匙的就能做的

mmmao

DirkHo 发表于 2012-4-2 01:52
M1卡确实能被破_解，我亲自试过，只要卡片就行。我做的门禁卡密码在3分钟内被读出来，而且可以连UID一起卡 ...

指纹更容易破,现在大多用视频监控作补充手段.

javabean

好消息是很多地方公交卡不设黑名单，复制卡随意用哦
坏消息是很多城市公交卡都换成CPU卡了，没有可以复制的可能

yangtao0559

留印，学习

linbin250

初学来晃晃。就发现原来如此高深！
现在还不知道怎么做出来读卡器，还没有研究明白芯片的使用方法，更不说协议了，未来才有可能与高手一同聊。

aaronhuang

mark mark!

rocketwind

学习,MARK

Hz01800475

DirkHo 发表于 2012-4-2 01:52
M1卡确实能被破_解，我亲自试过，只要卡片就行。我做的门禁卡密码在3分钟内被读出来，而且可以连UID一起卡 ...

指纹锁也有机械钥匙的

worldsing

关注

dexidz

现况是       公交,消费这种卡破解少有人碰,这个是违法。
但小区，电梯这类卡属于管理门禁，破解也只是道德问题，没人追究也就没事。（你回家的门卡就是把钥匙，你去配钥匙不可以吗.所以电子市场能配的到处有）

上面有人说只读UID号IC门禁 只能说用IC卡当ID模式用，门禁行业采用这方案的不多了，因为让同行笑话。
1 不用UID绑着加密的  这个很早就能了， 现在成本很低就能做到。不管你如何改密钥。
2 用UID绑着的，这个算是一卡一密了，上面是不行了，但有改UID号的卡（改号卡），这个问题也解决了。
  现在成本也降下来了。
现在很多同行都在做改号卡也不能破解的系统。每家不太一样。属于商业机密吧（不是用CPU卡）
  总是先有矛，后有盾

dexidz

jjcc 发表于 2011-8-26 16:00
各位，根据鹅知道的情况：

1.M1已经在08年被破_解，有专门的破_解工具进行暴力破_解

如果我告诉你，连专业知识都不用的人用改号卡 （50元就可）你就不会用很难这个词了

nuoya

这个问题早就出了，大家尽量把密钥存入射频IC内部，然后用内部密钥进行认证，使密码不在电路上以明文的形式出现。在配合随机密钥，基本可以杜绝这种攻击

chaojikoushuige

好深奥的技术

and001

DirkHo 发表于 2012-4-2 01:52
M1卡确实能被破_解，我亲自试过，只要卡片就行。我做的门禁卡密码在3分钟内被读出来，而且可以连UID一起卡 ...

能讨教一二？说说加密过程也好呀？

lyrics131415

楼主考虑不全啊

whimsyB

FM1702的芯片带的eeprom是可以保存密匙的吧，机具发布之前，就已经先把密码下载进去了，spi通讯过程如果没有下载密码，你就监听不到了

654705188

破解一两张密码意义不大，重要的应用一般都是，根据UID动态计算密码，还要进行远程数据库比对。

fanroom

我想复制的卡片的可能简单，但是想完全解密是不太现实的。否则走就淘汰了。

qiushui_007

现在有很多卖M1解密设备的, M1能全解密.

dspic

关键你还要能搞到设备才能破解吧。给你一张卡你能破？

satans

现在破m1卡的设备和软件已经某宝满天飞了. 200多块钱就能搞定.软件是开源的,设备也不贵.

DDD快跑

很好的东西，受教了。

qrytian

nuoya 发表于 2013-6-18 13:58
这个问题早就出了，大家尽量把密钥存入射频IC内部，然后用内部密钥进行认证，使密码不在电路上以明文的形式 ...

能解释下吗？说具体点

huangxinji8

成功了吗，可以破解吗？

sml009

学习学习