Forum: Fahrzeugelektronik Funkschlüssel Peugeot Partner I

Ich frag mal Piotr

Noch paar Bilder.
Eine Platine von Ebay.
Die originale Platine mit einem Quarz oder Resonator.
Rückseite mit Batterie.
Die ganze Platine.

Zed-Full von IEA kann es laut Doku, siehe Bild.

Ob es auch die günstigen Klone des Tools können müsste man schauen.

Dieter S. schrieb:
> Zed-Full von IEA kann es laut Doku, siehe Bild.

Der kann das. Ich habe ihn und habe schon Peugeot- Schlüssel damit 
Kopiert.
Rohlinge gibt es bei Wish.

Jörg P. R. schrieb:
> Dieter S. schrieb:
>> Zed-Full von IEA kann es laut Doku, siehe Bild.
>
> Der kann das. Ich habe ihn und habe schon Peugeot- Schlüssel damit
> Kopiert.
> Rohlinge gibt es bei Wish.

Wärst du so nett mir meinen zu klonen, wenn ich Rohlinge organisiere ?

Fred F. schrieb:

> Der auf dem Bild abgebildete Chip soll ein
> NXP PCF7936A Hitag2 sein.

Nein. Ein 7936 ist ein einfacher Transponderchip.
Dein Schlüssel hat einen PCF7922. Hitag2 / ID46
Üblicher Ersatz ist 7961 / 7941

Zum Klonen braucht man das Auto, es geht nicht nur mit dem Schlüssel.
Da kannst Du auch einen neuen Schlüssel direkt anlernen.

Der Schlüssel/Transponder wird vom Auto angelernt. Ich habe noch einen 
Schlüssel(wenn ich ihn finde) den ich dir geben kann.

Jetzt verstehe ich nur noch Bahnhof.
Ich habe mal zwei Schlüssel bei Aliexpress bestellt.
Wie geht es jetzt weiter, wenn ich die Schlüssel habe?

> Jetzt verstehe ich nur noch Bahnhof.

Ueblicherweise laeuft das so das du ein spezielles Diagnosegeraet 
brauchst das ein Steuergeraet in deinem Auto in einen Anlernmodus 
versetzt. Danach musst du mit jedem einzelnen Schluessel eine 
Anlernprocedure durchfuehren. Das Steuergeraet lernt dabei also die 
Seriennummer der Schluessel. Bereits vorher angelernte Schluessel 
koennen dabei verloren gehen und muessen neu angelernt werden.
Fuer den Fall das es ein Problem gibt, park das Auto vorher an einer 
Stelle wo es nicht im Weg rumsteht. .-)

Vanye

Der Ablauf steht ja auch schon in dem Screenshot von der Zed-Full 
Anleitung: Über K-Line wird ins zuständige Steuergerät im Fahrzeug eine 
neue Pin (Key) geschrieben, diese Pin (Key) wird auch in den 
Funkschlüssel geschrieben (das geht über ein paar von den Testpads, für 
Zed-Full gibt es ein passendes Interface). Ein bereits vorhandener 
Funkschlüssel kann verwendet werden, der alte Pin (Key) wird dabei 
gelöscht.

Ein Auslesen des bereits vorhandene Pin (Key) ist aber mit Zed-Full 
nicht möglich.

Also kann man den Schlüssel nicht kopieren, wie Jörg schrieb?

Kopieren kann man den Schlüssel mit Zed-Full nicht, aber man kann ihn in 
einen Zustand bringen dass er vom Fahrzeug angelernt werden kann.

Ob man tatsächlich auch am Fahrzeug per K-Line etwas machen muss ist 
aber nicht ganz klar, eventuell reicht es wenn man nur die Schlüssel in 
den Anlern-Zustand bringt.

Mit dem ZED- BULL, ja so heißt er, kann man die Schlüssel kopieren.
1) Original Schlüssel rein und auslesen.
2) neuen Schlüssel rein und beschreiben.
Fertig
Habe ich schon öfter gemacht.

Jörg P. R. schrieb:
> Mit dem ZED- BULL, ja so heißt er, kann man die Schlüssel kopieren.
> 1) Original Schlüssel rein und auslesen.
> 2) neuen Schlüssel rein und beschreiben.
> Fertig
> Habe ich schon öfter gemacht.

Aha, erst hast Du einen Zed Full und dann einen Zed-Bull.

Wie auch immer, keiner von beiden wird einen Hitag2 ID46 Transponder 
Clonen ohne das Du das Auto hast.

Fred F. schrieb:
> Ich habe mir einen alten Peugeot Partner I EZ. 2005 gekauft.
Was haben sie Dir denn dafür gegeben ?

Fred F. schrieb:
> Da Autos nach 20 Jahren eher weggeworfen werden,
Das solltest Du auch lieber tun.

Ich habe meine TV-Glotze nach sechs Monaten auf die Müllhalde gebracht, 
weil mir die Programme nicht mehr gefallen haben. Die neue Glotze ist 
aber auch nicht besser. Und wenn ich Vera sehe, braucht ich den 
Kotz-Eimer.
Wer Ironie gefunden hat, darf sie behalten.
Gruß HolgerR

Holger R. schrieb:
> Fred F. schrieb:
>> Ich habe mir einen alten Peugeot Partner I EZ. 2005 gekauft.
> Was haben sie Dir denn dafür gegeben ?

Ich musste sogar Geld dafür bezahlen.

> Fred F. schrieb:
>> Da Autos nach 20 Jahren eher weggeworfen werden,
> Das solltest Du auch lieber tun.

Wieso ?
Braucht kaum Diesel, passt mehr rein, kostet dank LKW-Zulassung nur 
112,50 € Steuer, 265 € Versicherung im Jahr und kommt mit 135000 km noch 
durch die AU. Im Gegensatz zum Polo ein Gewinn.

> Ich habe meine TV-Glotze nach sechs Monaten auf die Müllhalde gebracht,
> weil mir die Programme nicht mehr gefallen haben. Die neue Glotze ist
> aber auch nicht besser. Und wenn ich Vera sehe, braucht ich den
> Kotz-Eimer.
> Wer Ironie gefunden hat, darf sie behalten.
> Gruß HolgerR

Was auch immer uns das sagen soll.

Also Zed-Bull ist bestellt, wir werden sehen, ob es klappt.
Die 40 € machen den Braten auch nicht fett.

Fred F. schrieb:
>
> Also Zed-Bull ist bestellt, wir werden sehen, ob es klappt.

Es sieht so aus als ob der Funkschlüssel auf den Bildern keinen 
Transponder hat, zumindest keinen der in dem NXP Chip implementiert ist 
(dann wäre eine relativ große Spule auf der Platine bzw. der Chip wäre 
sehr hoch mit interner Spule). Es gibt eine sehr ähnliche Platine mit 
Spule, die ist wohl für ein anderes/neueres Fahrzeugmodell.
Es kann natürlich sein dass es noch einen separaten Transponder gibt der 
irgendwo anders im Schlüssel verbaut ist.

Der Mini Zed-Bull (bei EUR 40 ist das sicher ein Klone des Zed-Bull) 
hilft nur weiter wenn es einen Transponder gibt bzw. einen der auch 
geklont werden kann.

Und dann bleibt immer noch die Frage wie man den Funkschlüssel anlernt 
bzw. passend zum Fahrzeug programmiert (der Funkschlüssel zum öffnen des 
Fahrzeugs hat nichts mit dem Transponder zu tun).

Jörg schrieb:
> Aha, erst hast Du einen Zed Full und dann einen Zed-Bull.

Ich habe niergends geschrieben, das ich einen ZED- Full besitze. Sollte 
das so rüber gekommen sein, liegt es daran das ich ZED- Bull gelesen 
habe. Ich besitze den ZED- Bull und mit dem habe ich schon mehrmals 
Schlüssel von Peugeot und Opel programmiert. Bei den neuen Fahrzeugen 
wird das aber sicher nichts mehr werden.

Holger R. schrieb:
>> Da Autos nach 20 Jahren eher weggeworfen werden,
> Das solltest Du auch lieber tun.

Warum sollte er das? Das sind zuverlässige Fahrzeuge. Meine Frau hat vie 
306er Cabrios gefahren und ich habe bis letztes Jahr einen 307cc mit 
Gasanlage 238000km gefahren. Dankbare Autos und einfach zu reparieren. 
Das wird bei den neuen Blechbüchsen und bei E- Fahrzeugen nicht der Fall 
sein.

Dieter S. schrieb:
> Es kann natürlich sein dass es noch einen separaten Transponder gibt der
> irgendwo anders im Schlüssel verbaut ist.

Das wird so sein bei den Baujahren. Man muss natürlich den kompletten 
Schlüssel mit Transponder haben sonst gibt das nichts.

Dieter S. schrieb:
> Und dann bleibt immer noch die Frage wie man den Funkschlüssel anlernt
> bzw. passend zum Fahrzeug programmiert (der Funkschlüssel zum öffnen des
> Fahrzeugs hat nichts mit dem Transponder zu tun).
Sollte bei Peugeot kein Problem sein. Steht in der Bedienungsanleitung. 
Beim 306er steckt man den vorher programmierten Schlüssel in das 
Zündschloss und muss beim Zündung einschalten einen Knopf drücken. Ich 
meine der "Schließen" Knopf.

Jörg P. R. schrieb:
> Jörg schrieb:
>> Aha, erst hast Du einen Zed Full und dann einen Zed-Bull.
>
> Ich habe niergends geschrieben, das ich einen ZED- Full besitze.

Doch, hast Du.

Jörg P. R. schrieb:
> Dieter S. schrieb:
>> Zed-Full von IEA kann es laut Doku, siehe Bild.
>
> Der kann das. Ich habe ihn und habe schon Peugeot- Schlüssel damit
> Kopiert.
> Rohlinge gibt es bei Wish.

Und hier mal noch ein kleines Video zu Zed Bull und ID46 klonen.
https://www.youtube.com/watch?v=RTsyRCcotp4

Wie schon gesagt, es geht nicht ohne Auto. Dazu brauchst Du dann noch 
einen TPX-3 Transponder. Einfach auf einen China Schlüssel klonen ist 
nicht.

Also solche ?
https://de.aliexpress.com/item/1005010507234829.html

Nochmal: Sich um das Kopieren/Klonen des Transponders zu kümmern macht 
erst Sinn wenn da auch tatsächlich einer ist, auf der Platine bzw. im 
NXP Chip ist er nicht.

Also erst mal schauen ob sich im Gehäuse des Schlüssels noch irgendwo 
der eigentliche Transponder befindet.

Zum HITAG2 Transponder Kopieren/Klonen für einen Peugeot 207 von 2009 
gibt es hier einige Einblicke (bei Bedarf die Datei "Guida.pdf" 
übersetzen lassen):

https://github.com/Ptr-srix4k/HITAG2-Clone

Dieter S. schrieb:
> Nochmal: Sich um das Kopieren/Klonen des Transponders zu kümmern macht
> erst Sinn wenn da auch tatsächlich einer ist, auf der Platine bzw. im
> NXP Chip ist er nicht.
>
> Also erst mal schauen ob sich im Gehäuse des Schlüssels noch irgendwo
> der eigentliche Transponder befindet.
>

Ich glaube, ich habe das gesuchte Teil gefunden, siehe Bild.
Einen Aufdruck hat es jedoch nicht.
Also passen dann diese Chips dafür ?
https://de.aliexpress.com/item/1005010507234829.html

Fred F. schrieb:
> Einen Aufdruck hat es jedoch nicht.

Der ist auf der anderen Seite, siehe...

Jörg schrieb:
(Anhang)

Fred F. schrieb:

> Ich glaube, ich habe das gesuchte Teil gefunden, siehe Bild.

Da ist er ja...

Aus welcher PLZ Region kommst Du?
Eventuell wohnst Du ja in meiner Nähe. Da würde ich Dir einen Schlüssel 
anlernen. Da kannst Du dir das Clonen sparen. Und Fräsen kann ich Ihn 
Dir auch.

Jörg schrieb:
> Fred F. schrieb:
>
>> Ich glaube, ich habe das gesuchte Teil gefunden, siehe Bild.
>
> Da ist er ja...
>
> Aus welcher PLZ Region kommst Du?
> Eventuell wohnst Du ja in meiner Nähe. Da würde ich Dir einen Schlüssel
> anlernen. Da kannst Du dir das Clonen sparen. Und Fräsen kann ich Ihn
> Dir auch.

Das wäre ja toll.
79xxx Freiburg

Fred F. schrieb:
>
> Das wäre ja toll.
> 79xxx Freiburg

 Oh ha, das sind über 600km

Wo bist du denn?
Wenn es kein all zu großer Umweg ist, würde ich vorbeifahren, wenn ich 
wieder in den Osten fahre.

Etwa auf halber Strecke zwischen Leipzig und Chemnitz.

Jörg schrieb:
> Etwa auf halber Strecke zwischen Leipzig und Chemnitz.

Das würde ja passen, ich fahre:
A5->A6->A9->A72->A4

Da hast Du aber doch einen Umweg. Aber ich bin auch ab und zu in 
Chemnitz unterwegs. Da kann man sich ja dort treffen.

So, die beiden neuen Schlüssel sind da.
Auf diesen Platinen ist noch ein Bauteil auf der Batterieseite.
Ist das der Transponder für die Wegfahrsperre ?

Das ist die Spule für den Transponder, der Transponder bzw. dessen 
Implementierung in Software befindet sich im NXP Chip.

Dieter S. schrieb:
> Das ist die Spule für den Transponder, der Transponder bzw. dessen
> Implementierung in Software befindet sich im NXP Chip.

Also muss ich jetzt nicht auf die Transponder warten, weil sie schon 
implementiert sind und könnte jetzt schon den Schlüssel klonen, wenn ich 
denn das Zed-Bull-Gerät schon hätte ?

Fred F. schrieb:
>
> Also muss ich jetzt nicht auf die Transponder warten, weil sie schon
> implementiert sind und könnte jetzt schon den Schlüssel klonen, wenn ich
> denn das Zed-Bull-Gerät schon hätte ?

Wenn die neuen Schlüssel den selben Transponder nachbilden wie das 
Original dann sollte es funktionieren.

Der Mini Zed-Bull kann Transponder auch nur identifizieren ohne sie zu 
kopieren/klonen. Also einfach ausprobieren ob damit der selbe 
Transpondertyp beim Original und den neuen Schlüsseln identifiziert 
wird.

Mit Proxmark3 findet er die originalen Schlüssel nicht, aber die neuen:
[+]  UID: edf1048f

[=] Hitag2 tag information

[=] ------------------------------------
[+] Config byte : 0x06 [ 00000110 ]
[+] Encoding    : Manchester
[+] Version     : Hitag2
[+] Coding in HITAG 2 operation: manchester
[+] Tag is in   : Password mode
[+] Page 6,7    : RW
[+] Page 4,5    : RW
[+] Page 3      : RW
[+] Page 1,2    : RW
[=] ------------------------------------
[=] 00 | ED F1 04 8F | ....
[=] 01 | 4D 49 4B 52 | MIKR
[=] 02 | 00 00 4F 4E | ..ON
[=] 03 | 06 AA 48 54 | ..HT
[=] 04 | 55 1C E9 62 | U..b
[=] 05 | AA E3 16 9D | ....
[=] 06 | 0A 55 FF FF | .U..
[=] 07 | FF FF FF FF | ....
[=] 08 | 00 00 00 00 | ....
[=] 09 | 00 00 00 00 | ....
[=] 10 | 00 00 00 00 | ....
[=] 11 | 00 00 00 00 | ....
[=] -------- Possible de-scramble patterns ---------
[+] Paxton id: 105542861 | 0x64a74cd

Fred F. schrieb:
>
> Mit Proxmark3 findet er die originalen Schlüssel nicht, aber die neuen:

Das sollte auch mit dem Original funktionieren. Entscheidend ist das 
Kunststoffteil auf dem Bild "Chip.jpg" weiter oben. Dieser Transponder 
wird aber eine kleinere Spule haben und deshalb wenig empfindlich sein, 
daher mit dem Abstand/Orientierung zum Proxmark3 experimentieren.

Kleines Update:
Mit den gelieferten Ersatzschlüsseln komme ich ein gutes Stück weiter, 
nachdem ich mir mehrmals das Video "Enhancing Hitag2 Support on 
Proxmark3" von Iceman Channel angesehen habe: 
https://www.youtube.com/watch?v=b2eDksu0Aqw
Aber ab dem Punkt beim Zeitpunkt 20:15-20:26 komme ich nicht weiter.
Bei mir kommt bei dem Befehl "lf hitag dump --nrar ..." immer:
"Cannot find a valid encrypted command!"
Jetzt versuche ich mich gerade am hitag2crack/crack3

Aber immerhin findet er auch den originalen Funkschlüssel, wenn man ihn 
schräg drauflegt. Der andere Ersatzschlüssel scheint keinen Transponder 
zu haben, der passt auch nicht in das Zündschloss.
Heute sollen angeblich die Transponder eintrudeln, bis dahin heizt mein 
PC mit 70° CPU-Temperatur die Bude. Mal gucken, was rauskommt.

Nächstes Update:
crack3 hat zu lange gedauert, habe ich abgebrochen und crack5opencl 
genommen.
Deutlich schneller, aber bringt mir auch nur die Erkenntnis, dass der 
Key "4F4E4D494B52" aus der Liste der bekannten Keys ist. Aber das hilft 
mir evtl. mit dem originalen Funkschlüssel weiter, der sich nicht so 
leicht öffnen lassen will.

Hm, der originale Schlüssel scheint "härter" zu sein.
Ich hab mal die jeweilige Ausgabe als Textdatei angehängt.

Der originale Funkschlüssel gibt sich auch als PCF 7936 aus und die 
neuen Ersatzschlüssel als PCF 7961.
Kann das überhaupt funktionieren ?
Edit: Sollen wohl kompatibel sein.
Und die neuen Transponder können gar nicht gelesen werden.

Es wäre sicher bei einem 20 Jahre alten Auto kein grosses Risiko, den 
Transponder Würfel an das Zündschloss zu kleben - das kann man auch 
verdeckt machen. So brauchst du nur die Funkschlüssel und nicht noch die 
Transponder für die WFS.

Jetzt muss ich bis morgen warten, dann darf ich den ZED-Bull in der 
Post-Filiale abholen. Dann probiere ich mal ob das klappt:
https://www.youtube.com/watch?v=RTsyRCcotp4

Kurzes Update:
Gerät ist da, erkennt die Schlüssel. Wie erwartet kann er sie nicht 
klonen.
Das Einrichten der Software bzw. Treiber ist eine Katastrophe, mit 
Virtualbox ist da wohl nichts zu machen. Zum Glück habe ich noch ein 
altes Yogabook mit Win10.
Dort habe ich es nach etlichen Stunden tatsächlich geschafft, mit der 
v508 eine Kommunikation zwischen den Geräten herzustellen. Jetzt muss 
ich noch ein Kabel für die mobile Stromversorgung basteln, dann geht es 
an das Auto. Wenn der Nachbar mir sein WLAN zur Verfügung stellt wird 
sich zeigen, ob einer der beiden Server wie im Video funktioniert.

Wohl das letzte Update:
Es ist wohl nicht möglich, den Schlüssel zu klonen.
Nicht mit dem Zed-Bull und nicht mit dem Proxmark3.
Die Anleitung funktioniert ab dem Punkt "Write" nicht mehr.
Es kommt kein Fenster, in dem man "TK-60" oder "TPX-3" oder einen Server 
auswählen könnte.
Somit bleibt bisher nur die Erkenntnis:
Alle sind 46 Phillips Crypto2

Mode: Lock
Nicht-Funkschlüssel PCF7936
UID 413EE319
sowie
Funkschlüssel PCF7936
UID F7318712

Mode: Password + Manchester
neuer Funkschlüssel 1 PCF7961
UID EDF1048F

neuer Funkschlüssel 2 PCF7961
UID 868B158F

Key:
4F4E4D494B52
Passwort:
4D494B52

Rest verschlüsselt und es gibt keine Anleitung, wie man das knacken 
könnte.
Alles nur Werbevideos, um Sachen zu kaufen, die dann nicht 
funktionieren.

Fred F. schrieb:
>
> Es kommt kein Fenster, in dem man "TK-60" oder "TPX-3" oder einen Server
> auswählen könnte.

Hast Du erwartet dass IEA nichts dagegen tun wird dass die Zed Bull 
Klone ihren Serverdienst verwenden können? Bei dem von Dir genannten 
Preis von EUR 40 wird es kaum ein Original sein.

> Rest verschlüsselt und es gibt keine Anleitung, wie man das knacken
> könnte.

Hier wurde bereits eine Anleitung genannt:

Beitrag "Re: Funkschlüssel Peugeot Partner I"

Und das alles mit relativ günstiger Hardware und Software von der es den 
Source Code gibt.

Hab das Guida.pdf mal übersetzen lassen. Daraus:

Wichtig:
- Bei älteren Peugeot-Schlüsseln ist oft nur der mechanische Teil 
kopierbar.
- Der elektronische Teil (Chip, Fernbedienung) ist meist durch 
Read-Only-Page 0 geschützt und kann nicht vollständig dupliziert werden.
- Für vollständiges Klonen inklusive Fernbedienung braucht man spezielle 
Chips (z.B. VVDI Super Chip).

**VVDI Super Chip**
Der VVDI Super Chip kann mit der AESHitager-Software programmiert 
werden, um eine 1:1-Kopie zu erstellen.
Er ist kompatibel mit verschiedenen Transponder-IDs 
(PCF7935/6/7/8/9/46).

Heißt das, dass ich die falschen Transponder habe ?

Fred F. schrieb:
>
> Heißt das, dass ich die falschen Transponder habe ?

Es gibt unterschiedliche Transponder im Bereich des Schlüsselkopierens:

- original Transponder unterschiedlicher Typen, man braucht den 
passenden Typ für eine Kopie

- Spezialtranponder (z.B. VVDI Super Chip) die man für unterschiedliche 
Typen programmieren kann, man muss also nicht mehr so viel 
unterschiedliche Varianten auf Lager haben

- Spezialtranponder (z.B. TPX3) mit besonderen Features, der TPX3 kann 
z.B. die für das Ermitteln des HITAG Keys erforderlichen 
Challenge-Response Daten aufzeichnen

Hast Du denn die Challenge-Response Daten für den Originalschlüssel? 
Wenn nicht siehe die Datei "Guida.pdf", dort wird auch beschrieben wie 
man ein Tool zum Mitschneiden selber bauen kann.

Der Hitager (das Tool mit Source Code zum Transponder Kopieren) kann mit 
den original Transpondern und dem VVDI Super Chip umgehen, aber nicht 
mit dem TPX3. Deswegen braucht man ein Tool zum Mitschneiden der 
Transponderdaten, sonst könnte man auch einen TPX3 dafür verwenden.

Ich habe einen Proxmark3.
Kann ich damit die Challenge-Response sniffen ?
Eigentlich müsste hier auch irgendwo noch ein Atmega328p rumliegen, den 
finde ich aber gerade nicht. Könnte man auch einen ESP32 dafür nehmen ?

Fred F. schrieb:
> Ich habe einen Proxmark3.
> Kann ich damit die Challenge-Response sniffen ?

Das sollte funktionieren, scheint aber etwas fummelig zu sein und hängt 
wohl auch davon ab welche Version der Proxmark Software man verwendet.

So, jetzt habe ich eine sniff.trace von der Kommunikation zwischen Auto 
und Schlüssel. Was muss ich jetzt damit anstellen ?

Fred F. schrieb:
> So, jetzt habe ich eine sniff.trace von der Kommunikation zwischen Auto
> und Schlüssel. Was muss ich jetzt damit anstellen ?

Die für das Ermitteln des Schlüssels erforderliche Daten extrahieren. 
Wie schon bei der Doku von Proxmark steht ist das momentan noch nicht 
sehr komfortabel. Man muss sich also ein wenig damit beschäftigen, der 
Source Code und auch die Datei "Guida.pdf" sollten dabei helfen.

Man braucht für "Attack 5" (und auch "Attack 5gpu" bzw. "Attack 
5opencl") zwei {nR} {aR} Paare, also den Mitschnitt von zwei 
Startvorgängen mit dem Originalschlüssel und den daraus extrahierten 
{nR} {aR} Paaren.

Ich habe die .trace mal mit AES Hitager geöffnet, siehe Bild.
Kann man da die nR und aR erkennen ?
Leider läuft die AESHitager.exe nicht unter virtualbox, dafür startet 
sie aber mit wine. Ich habe halt keinen COM-Port, aber mit proxmark3 
müsste man ja auch schreiben können.
Die Daten noch als Text:

P0
97D80900

P1
FFFF0180

P2
E0036658

P3
0000FFFF

P4 User Data
0000FFFF
P4 Remote Data
0180E0003

P5 User Data
0180E003
P5 Remote Data
1B5C0000

P6 User Data
1A5C0000
P6 Remote Data
FFFF0180

P7 User Data
FFFF0180
P7 Remote Data
E0031B5C

Hab mal die KI befragt, die meint, dass die Channel-Response nicht 
vollständig ist.
Z.B. die erste Zeile:
97D80900 FFFF0180 E0036658 0000FFFF 0180E003 1B5C0000 FFFF0180 E0031B5C 
0000FFFF 0180E003 1A5C0000 FFFF0180 E0036758 0000FFFF

Bedeutet, dass FFFF0180 die Antwort vom Schlüssel sein müsste, aber 
nicht ist ?
Möglicherweise ist auch das Problem, dass ich beim sniffen mehrfach die 
Zündung an- und aus gemacht habe, statt nur einmal, den trace speichern 
und erneut Zündung an- und aus, trace speichern, etc.
Ich versuche es heute noch mal neu.

Hitager kann mit dem Trace von Proxmark nichts anfangen. Das was man im 
GUI von Hitager eintragen kann sind die Daten des Transponders, die 
haben nicht mit dem Mitschnitt der Kommunikation zu tun. "97D80900" ist 
z.B. die Timestamp (Little Endian) eines Ereignis aus dem Trace.

Wie ist der Trace aufgezeichnet worden, mit "lf hitag sniff"?

Dieter S. schrieb:
> Wie ist der Trace aufgezeichnet worden, mit "lf hitag sniff"?

Ja.

Ich kann in dem Trace nichts Brauchbares erkennen.

Laut dem hier

https://www.proxmark.io/www.proxmark.org/forum/viewtopic.php%3Fpid=41669.html

könnte es eventuell mit einer älteren Version funktionieren (dort ist es 
"lf hitag snoop"). Allerdings ist nicht klar ob das Ergebnis dann 
tatsächlich brauchbar ist. Man könnte sich auch mit dem Source Code von 
Proxmark auseinandersetzen und entsprechend anpassen dass es 
funktioniert.

Im Zweifelsfall den Sniffer aus der Datei "Guida.pdf" verwenden, auch 
wenn das u.U. mehr Aufwand ist.

Hm, ich habe gestern nochmal drei traces erstellt.
Also sniffen, Datei speichern, sniffen, Datei speichern, etc.
Aber die sehen alle exakt gleich aus, 80 Hex-Zeichen, 13 Zeilen 
(Anhang). Meine Vermutung ist, dass das lediglich vom Zündschloss ist, 
da ich beim originalen Schlüssel schon Probleme habe, mit dem Proxmark 
den Transponder auszulesen, wenn der Schlüssel direkt drauf liegt.
Des weiteren habe ich mal den Funkverkehr auf 433Mhz aufgezeichnet und 
mit urh analysiert.
Der originale scheint Manchester II zu sein, der neue Funkschlüssel 
Manchester I:
---------------------------------------------------
originaler Funk-Schlüssel Manchester II

insgesamt 65 Hex-Zeichen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Setzt sich zusammen aus 13 identischen Bytes (26 Hex-Zeichen)
ffffffffffffffffffffff5a6a

dann 17 verschlüsselte Hex-Zeichen
ae3fe70144b59e12e

gefolgt von 5 identischen Hex-Zeichen
02d35

gefolgt von 17 verschlüsselten Hex-Zeichen
571ff380a25acf097
--------------------------------------------------
neuer Funk-Schlüssel Manchester I

64 Hex-Zeichen
fffffffffffffffffffff122aa8b1062c66f22c77bf8915545883163379163bc
fffffffffffffffffffff122a90f14ba9595a05aabf89154878a5d4acad02d54
fffffffffffffffffffff122adcebc15f190e0f583f89156e75e0af8c8707ac0
fffffffffffffffffffff122abbb214729ef5be293f89155dd90a394f7adf148
fffffffffffffffffffff122aaa75486f0b36e234bf8915553aa437859b711a4

Die setzen sich zusammen aus 25 identischen Hex-Zeichen
fffffffffffffffffffff122a

gefolgt von 17 verschlüsselten Hex-Zeichen

a8b1062c66f22c77b
90f14ba9595a05aab
dcebc15f190e0f583
bbb214729ef5be293
aa75486f0b36e234b

gefolgt von 5 identischen Hex-Zeichen
f8915

gefolgt von 17 verschlüsselten Hex-Zeichen
545883163379163bc

Im Datenblatt zum PCF7922 (siehe Anhang) steht 32bit pro Seite, 128 
Seiten, also 512 Byte.
Inwieweit man das Datenblatt auf den PCF7936 oder PCF7961 übertragen 
kann, weiss ich nicht, da konnte ich nichts finden.

Besonders interessant dürften die Seiten 19, 46 und 62 aus dem 
Datenblatt sein.
Demnach versteckt sich in den nur lesbaren Page 0 "1000" bzw. Hex "8" 
der Device Identifier, also die ID und in Page 127 "X6XX8000".
Sollte die ID unverschlüsselt übertragen werden, könnte das hier für den 
originalen PCF7936-Wegfahrsperre-Transponder sein, vorausgesetzt der 
sniff taugt was:
XXXXXX8X
FFFF0180
Auf Seite 19 des Datenblatts heißt es übersetzt:
Der Identifier wird typischerweise im Prozess der Rolling-Code- oder 
Challenge-Response-Generierung für schlüssellose Zutrittsanwendungen 
verwendet.
Die Verwendung des werkseitig gelieferten Identifiers ist nicht 
verpflichtend; stattdessen kann das Gerät (DCFG) so konfiguriert werden, 
dass es ein 32-Bit-Muster (4 Byte für 8 Hex-Zeichen) nutzt, das sich auf 
einer (!) beliebigen Seite im Bereich von 0 bis 126 befindet.
Demnach könnte das ffff5a6a beim Funktransponder sein und darf nur auf 
einer Page sein, nicht verteilt über andere Pages.
2 Byte zum füllen der ersten 16 Bits und 16 Bits einer eigenen, 
programmierten ID.
Und das Muster für Page 127:
X6XX8000
36358000

Was der Funkschlüssel macht hilft nicht um die erforderlichen Daten des 
Transponders zu ermitteln. Der Transponder im Originalschlüssel ist ein 
separates Teil und hat nichts mit dem Funkschlüssel zu tun.

Dass für eine vollständige Schlüsselkopie Funkschlüssel (zum Öffnen) und 
Transponder (zum Starten) funktionieren sollten ist eine andere Sache.

Das ist mir mittlerweile schon klar geworden, das Wegfahrsperre und 
Funkschlüssel beim originalen zweierlei sind.
Aber um den richtigen Punkt zu finden, an dem man ansetzen kann, nochmal 
die Daten vom sniff der Wegfahrsperre aufgedröselt:

6358 0000 (Seite 127 ?)
FFFF 0180 (Seite 0 ?)
E003 6658 0000
FFFF 0180 (Seite 0 ?)
E003 6558 0000
FFFF 0180 (Seite 0 ?)
E003 6358 0000
FFFF 0180 (Seite 0 ?)
E003 7F53 0000
FFFF 0180 (Seite 0 ?)
E003 6858 0000
FFFF 0180 (Seite 0 ?)
E003 5158 0000
FFFF 0180 (Seite 0 ?)
E003 5258 0000
FFFF 0180 (Seite 0 ?)
E003 F84C 1400
FFFF 0180 (Seite 0 ?)
E003 6858 0000
FFFF 0180 (Seite 0 ?)
E003 6858 0000
FFFF 0180 (Seite 0 ?)
E003 8253 0000
FFFF 0180 (Seite 0 ?)
E003
Das Challenge-Response fehlt hier wohl.
Ich habe auch noch ein Pythonscript gefunden, welches helfen soll, die 
Daten zu finden, aber meine Daten passen da wohl nicht, die Checksumme 
aus byte_array[12] stimmt nie.

Was soll der Hexdump des Trace bringen? Der enthält mehr als nur die 
RFID-Daten, den Inhalt kann man sich lesbar von Proxmark anzeigen 
lassen, das wird einem sogar deutlich bei den Kommandos angezeigt, z.B. 
"Use 'lf hitag list` to view collected data."

Und wenn Du die Tracedatei selber bearbeiten willst: Das Format ist 
dokumentiert, siehe die Datei "\doc\trace_notes.md" des Proxmark Source 
Code.

Ok, dann muss ich da auch nochmal reingucken, so ganz durchgestiegen bin 
ich mit den Befehlen vom proxmark noch nicht.
¯⁠\⁠_⁠(⁠ツ⁠)⁠_⁠/⁠¯

Die alte Software vom proxmark3 bekomme ich nicht kompiliert, da muss 
ich wohl nochmal ein älteres Linux aufsetzen und gucken, dass ich dort 
die Abhängigkeiten installiert bekomme. Alle weitere Versuche die 
Kommunikation zu sniffen, schlugen fehl, was möglicherweise auf am 
begrenzten Platz am Zündschloss liegt.
Möglicherweise habe ich mit einer eigenen Antenne mit 
Schlüsseldurchsteckmöglichkeit bessere Karten.
Beim stöbern im Internet ist mir doch noch das Datenblatt des PCF7936 in 
die Hände gefallen. Dort steht auf Seite 25, dass der PCF7936 in Page 0 
das Format XX XX XX 1X hat und 0001 im Bit 4 bis 7, während der PCF7922 
in Page 0 das Format XX XX XX 8X und 1000 (Hex 8) im Bit 4 bis 7 stehen 
hat.
Ich habe es mal für die Nachwelt angehängt.
Den Funkverkehr für die Türe habe ich mit urh auch mehrfach 
aufgezeichnet und analysiert, erkenne auch das ein oder andere Muster. 
Richtig schlau werde ich daraus aber noch nicht. Auch als Anhang.

Ich glaube, ich bin an die Sache mit dem Funkteil des Schlüssel falsch 
angegangen.
Ich hätte mir zuerst alles in Bits und/oder NRZ angucken sollen.
Dann wäre mir aufgefallen, dass die gleichen Bits zwei Mal gesendet 
werden:

Die ersten Bits (1-35) sind immer gleich, ob öffnen oder schliessen.
Bei jedem Mal Knopfdrücken gleich.
Dann kommen 132 (36-167) sich bei jedem Knopfdruck ändernde Bits.
17 Bits (Bit 168-184) immer gleich, egal ob öffnen oder schliessen.
Bei jedem Mal Knopfdrücken gleich.
Das ganze wiederholt sich noch einmal, nur ohne die 17 Bits:
35 immer gleiche Bits (185-219), wieder die 132, sich ändernden Bits 
(Bit 220-351).

Die erste Frage, die sich mir stellt, ist folgende:
Da die UID nur 32 Bit lang ist, sind entweder die ersten drei oder die 
letzten drei kein Teil der UID.
Nur welche, die ersten, oder die letzten drei ?

Beim den 17 Bit stellt sich auch die Frage.
Paritätsbit ? Am Anfang oder am Ende ?
Oder etwas ganz anderes ?

Piotr hätte den Wagen schon längst weg gefahren