Делаем универсальный ключ для домофона
Заголовок получился слишком громким — и ключ не такой и универсальный, и домофон поддастся не любой. Ну да ладно.Речь пойдет о домофонах, работающих с 1-wire таблетками DS1990, вот такими: 
В интернете можно найти множество материалов о том, как читать с них информацию. Но эти таблетки бывают не только read-only. Человеку свойственно терять ключи, и сегодня ларёк с услугами по клонированию DS1990 можно найти в любом подземном переходе. Для записи они используют болванки, совместимые с оригинальными ключами, но имеющие дополнительные команды. Сейчас мы научимся их программировать.
Зачем это нужно? Если отбросить заведомо нехорошие варианты, то самое простое — это перепрограммировать скопившиеся и ставшие ненужными клонированные таблетки от старого домофона, замененного на новый, от подъезда арендованной квартиры, где больше не живете, от работы, где больше не работаете, и т.п.
Сразу оговорюсь, что в описании я опущу некоторые моменты, очевидные для большинства из тех, кто «в теме», но, возможно, не позволящие простому забредшему сюда из поисковика человеку повторить процедуру. Это сделано нарочно. Я хоть и за открытость информации, и считаю, что сведения обо всех уязвимостях должна доводиться до общественности как можно быстрее, но всё же не хочу, чтобы любой желающий мог беспроблемно заходить ко мне в подъезд.
Немного теории.Как известно, DS1990 характеризуется, в общем случае, одним параметром — собственным идентификационным номером. Он состоит из 8 байт и нанесен на поверхность таблетки. И он же выдаётся в ответ на запрос по 1-wire. На самом деле один из этих байт — это идентификатор типа устройства, ещё один — контрольная сумма, но для нас это всё не принципиально. В памяти домофона прописаны все известные ему ключи, изменять это множество может только компания, домофоном управляющая. Но кроме ключей, явно записанных в память, домофон иногда реагирует на так называемые мастер-ключи, единые для домофонов этого производителя, этой серии, этого установщика. Коды мастер-ключей стараются держать в секрете, но иногда они утекают. За пять минут гугления можно найти порядка 20 мастер-ключей от различных домофонов. У меня стоит «Визит», поэтому выбор пал на ключ 01: BE:40:11:5A:36:00: E1.Болванки, на которые клонируются ключи, бывают разных типов. У нас в городе самые распространенные — это TM2004. По описанию они поддерживают финализацию, после которой теряют возможность перезаписи и функционируют как самые обычные DS1990. Но по каким-то причинам умельцы, делающие копии, финализацию выполняют не всегда. Возможно потому, что основная масса программаторов на рынке куплена давно и не имеет такой функции, возможно потому, что для финализации требуется повышенное (9В) напряжение. Не знаю. Но факт остаётся фактом, из 4-х ключей, на которых я экспериментировал, финализирован был только один. Остальные легко позволяли менять свой код на какой душе угодно.
Практика. Собирать программатор будем на Arduino Uno, которая для подобных целей макетирования и сборки одноразовых поделок подходит идеально. Схема простейшая, 1-Wire на то и 1-Wire.
Время сборки устройства на бредборде не превышает пяти минут
Код скетча. Сам алгоритм записи взят тут — domofon-master2009.narod.ru/publ/rabota_s_kljuchom_tm_2004/1–1–0–5Там, правда, написано, что можно записывать все 8 байт подряд, но у меня так не заработало. Поэтому каждый байт пишется отдельно, через свою команду 0×3C.
#include
#define pin 10
byte key_to_write[] = { 0×01, 0xBE, 0×40, 0×11, 0×5A, 0×36, 0×00, 0xE1 };
OneWire ds (pin); // pin 10 is 1-Wire interface pin now
void setup (void) { Serial.begin (9600); }
void loop (void) { byte i; byte data[8];
delay (1000); // 1 sec ds.reset (); delay (50); ds.write (0×33); // «READ» command ds.read_bytes (data, 8);
Serial.print («KEY »); for (i = 0; i < 8; i++) { Serial.print(data[i], HEX); if (i != 7) Serial.print(":"); }
// Check if FF: FF: FF: FF: FF: FF: FF: FF // If your button is really programmed with FF: FF: FF: FF: FF: FF: FF: FF, then remove this check if (data[0] & data[1] & data[2] & data[3] & data[4] & data[5] & data[6] & data[7] == 0xFF) { Serial.println (»…nothing found!»); return; }
return; // remove when ready to programm
// Check if read key is equal to the one to be programmed for (i = 0; i < 8; i++) if (data[i] != key_to_write[i]) break; else if (i == 7) { Serial.println("...already programmed!"); return; }
Serial.println (); Serial.print («Programming new key…»); for (uint8_t i = 0; i < 8; i++) { ds.reset(); data[0] = 0x3C; // "WRITE" command data[1] = i; // programming i-th byte data[2] = 0; data[3] = key_to_write[i]; ds.write_bytes(data, 4); Serial.print("."); uint8_t crc = ds.read(); if (OneWire::crc8(data, 4) != crc) { Serial.print("error!\r\n"); return; } else Serial.print("."); send_programming_impulse(); } Serial.println("done!"); }
void send_programming_impulse () { pinMode (pin, OUTPUT); digitalWrite (pin, HIGH); delay (60); digitalWrite (pin, LOW); delay (5); digitalWrite (pin, HIGH); delay (50); } После запуска программа раз в секунду опрашивает 1-Wire интерфейс и выдаёт на последовательнй порт считанный с него код. Если это FF: FF: FF: FF: FF: FF: FF: FF, то считаем, что ничего не подключено. В общем случае это, конечно, неверно, так как некоторые болванки, например, TM2004, позволяют записать 8 0xFF в идентификатор ключа, поэтому если у ваша таблетка прошита таким кодом, то проверку нужно убрать.
Порядок работы: запускаем, подключаем ключ, чей код хотим узнать, и полученное значение хардкодим в массив key_to_write. Убираем помеченный коментарием return. Снова запускаем и подключаем болванку, она должна прошиться новым ключом. Естественно, что для записи уже известного кода (скажем, мастер-ключа), первый шаг выполнять не требуется.
Если в процессе записи первого байта произошла ошибка, значит ваш ключ не перезаписываемый. Если же ошибка не на первом, а на каком-то из последующих байт, то проверьте контакт между таблеткой и ардуиной.
Успешный лог записи выглядит как-то так:
KEY FF: FF: FF: FF: FF: FF: FF: FF…nothing found! KEY FF: FF: FF: FF: FF: FF: FF: FF…nothing found! KEY FF: FF: FF: FF: FF: FF: FF: FF…nothing found! KEY 1:98:2C: CD: C:0:0: EB Programming new key…done! KEY 1: BE:40:11:5A:36:0: E1…already programmed! Спускаемся на улицу, пытаемся открыть соседний подъезд. Работает!
Морально-этические вопросы. А стоило ли такое выкладывать? Вдруг в мой подъезд сможет зайти бомж и станет там жить? Ну, во-первых, давайте смотреть правде в глаза — мастер-ключ вам запрограммируют в любом переходе за очень небольшие деньги. Да и в интернете предложений масса. В этом плане полтора хаброжителя, повторивших мой опыт — это капля в море.Во-вторых, я всё-таки намеренно упустил несколько довольно принципиальных вопросов, которые помешают новичку запустить устройство. Ну, а продвинутый человек вряд ли придёт в ваш подъезд, чтобы там спать или творить непотребства.Ну и в-третьих, мне больно смотреть на то, во что превращается мой город. Каждый дом мечтает огородиться от соседей. Заборы буквально повсюду. Огромное количество маршрутов, по которым я ходил всю жизнь, сегодня на пол-пути упирается в калитку с домофоном. И это при том, что никто не вправе ограничивать человека в посещении муниципальной собственности, которой придомовая территория и является. Без ключа-«вездехода» (а лучше целой связки с разными кодами) уже просто никуда.
Поэтому и публикую без малейших сомнений. Пользуйтесь!
