Richi´s Lab

EM Microelectronic EM4170

Wegfahrsperrentransponder

Dieses Glasröhrchen ist der Transponder eines Wegfahrsperrensystems. Darin befindet sich der EM4170 von EM Microelectronic. Der Transponder wird in den Schlüssel des Fahrzeugs integriert. Das Auslesen erfolgt über eine Sende/Empfangsspule am Schloss des Fahrzeugs. Liefert der Transponder die richtigen Daten, so gibt die Wegfahrsperre das Fahrzeug frei. Das Glasröhrchen hat einen Durchmesser von 3mm und einer Länge von 13,5mm. Es ist mit einer silikonartigen Vergussmasse gefüllt, aus der ein mit Kupferlackdraht umwickelter Ferritkern herausragt.

 

EM4170 Datenblatt Blockschaltbild

Das Datenblatt des EM4170 zeigt das Funktionsprinzip des Systems. Der Transceiver steuert die Auslesespule an und moduliert die Aussteuerung entsprechend der zu übertragenden Daten. Der Transponder kann Daten senden, indem er eine zusätzliche Last auf seine Empfangsspule schaltet, das elektromagnetische Feld dämpft und so die Spannung an der Spule des Transceivers moduliert, was dieser wiederum auswertet.

 

EM4170 Datenblatt Blockschaltbild

Der Transponder beinhaltet neben dem integrierten Schaltkreis EM4170 lediglich die Spule, die als Antenne dient. Das Blockschaltbild im Datenblatt zeigt den Aufbau des EM4170. Auf dem Die ist der Schwingkreiskondensator des Antennensystems integriert. Der Block AC/DC converter lädt mit der empfangenen Energie den Speicherkondensator Cs auf eine Spannung von bis zu 9,5V auf. Der Block Power Control generiert eine 3,5V-Versorgungsspannung und gibt die Logik frei solange eine ausreichende Versorgung gewährleistet ist.

Aus der Empfangsantenne werden außerdem die aufmodulierten Daten und der Arbeitstakt extrahiert und der integrierten Logik zugeführt. Die Steuerungslogik kontrolliert einen EEPROM und einen Verschlüsselungsalgorithmus. Wie sich später noch zeigen wird, scheint der Verschlüsselungsalgorithmus tatsächlich getrennt von der Steuerlogik integriert worden zu sein.

Daten die ausgegeben werden sollen erfahren eine Manchester-Kodierung. Der Datenstrom moduliert schließlich die Dämpfung des Antennensystems, was im Transceiver als Spannungsschwankung im Antennensystem detektiert werden kann.

Im Speicher des EM4170 kann ein 96Bit breiter geheimer Schlüssel abgelegt werden, der für den Ver- und Entschlüsselungsprozess herangezogen wird. Dieser Schlüssel kann nicht mehr ausgelesen werden. Außerdem ist in jedem Transponder ein spezifischer, 32Bit breiter Identifikationscode abgelegt. Über einen 32Bit breiten PIN kann das EEPROM vor Schreib- und Lesezugriffen geschützt werden. Außerdem befindet sich im Speicher ein 94Bit breiter sogenannter USER_MEMORY, der nur einmal beschrieben werden kann.

 

EM4170 Datenblatt Authentifizierung

Der Authentifizierungsprozess ist ebenfalls im Datenblatt skizziert. Der Transceiver überträgt dabei eine 56Bit Zufallszahl an den Transponder, gefolgt von einer verschlüsselten Version dieser Zufallszahl. Der Transponder prüft, ob die Zufallszahl korrekt verschlüsselt wurde und reagiert erst dann auf die Kommunikationsanfrage. Diese Maßnahme reduziert die Gefahr von Bruteforce-Angriffen. Wurde die Zufallszahl korrekt verschlüsselt, so überträgt der Transponder eine anders verschlüsselte Version der Zufallszahl. Der Transceiver kann dann prüfen, ob diese Verschlüssellung korrekt erfolgte.

Im Transponder befindet sich ein 96Bit langer Sicherheitsschlüssel, der für die Ver- und Entschlüsselungsvorgänge herangezogen wird und nicht auslesbar ist. Der Zugriff auf den Transponder ist zusätzlich mit einem 32Bit Pincode geschützt. Das System bietet damit ein gewisses Maß an Sicherheit, solange der Angreifer den spezifischen Sicherheitsschlüssel und den verwendeten Verschlüsselungsalgorithmus nicht kennt. Schwächen eines solchen Systems sind meist ein zu kurzer Schlüssel und Schwächen im Verschlüsselungsalgorithmus. Da die verfügbare Energie sehr begrenzt ist und der Transponder nicht zu teuer werden darf, kommen meist eher einfache Algorithmen zu Einsatz.

 

EM4170 Die

EM4170 Die

Die Abmessungen des Dies betragen 2,3mm x 1,7mm. Im rechten Bereich befinden sich die größeren Bondpads an die die Antennenspule angeschlossen war. Im linken Bereich sind mehrere Testpads platziert.

 

EM4170 Datenblatt Abmessungen

Das Datenblatt enthält eine Abbildung des Dies, das auch teilweise die Funktion der Testpunkte beschreibt. Neben der ungeregelten und der geregelten Versorgungsspannung sind dort drei Testpotentiale angebunden. Ob es sich nur um eine Testschnittstelle handelt oder ob hier auch eine initiale Programmierung erfolgt bleibt unklar. Nachdem jeder Baustein eine eigene, unveränderliche ID besitzt, ist es nicht unwahrscheinlich, dass diese ID bei der Produktion über die Testschnittstelle geschrieben wird.

 

EM4170 Die Detail

Auf dem Die findet sich die Bezeichnung 4170. Das Design stammt aus dem Jahr 2000. Die Zahlen 01 könnten für eine erste Revision stehen.

 

EM4170 Die Detail

In der rechten oberen Ecke des Dies sind unterschiedlich große Strukturen integriert. Die Nähe zum Antennenanschluss lässt vermuten, dass in diesem Bereich die Aufbereitung von Daten und Arbeitstakt erfolgt. Dazu würde der rechte Teil mit seinen kleineren Strukturen passen. Im linken Teil befinden sich auch größere Elemente. Dort könnte der Spannungsregler des Bausteins integriert sein.

 

EM4170 Die Detail

In der direkten Umgebung der Antennenanschlüsse sind einige verhältnismäßig große Flächen integriert. Ein Großteil dieser Flächen stellt mit Sicherheit die Kapazität von 200pF dar, die mit der angeschlossenen Spule einen Resonanzkreis bildet.

 

EM4170 Die Detail

In der unteren rechten Ecke des Dies sind neben einigen Kondensatorflächen auch verhältnismäßig große Strukturen integriert. Es könnte gut sein, dass es sich hierbei um die zuschaltbare Dämpfung handelt, die es ermöglicht Daten vom Transponder zum Transceiver zu übertragen.

 

EM4170 Die Detail

In der Mitte des Dies sind die Strukturen von Logizeilen zu erkennen. In den dicht gepackten Zeilen befinden sich Transistoren angeordnet in sogenannten Standardzellen. Über die Verdrahtung in den Zwischenräumen werden die benötigten logischen Verknüpfungen realisiert.

 

EM4170 Die Detail

Der linke Bereich des Dies enthält den Speicher des EM4170.

 

EM4170 Die Detail

Auf diesem Bild (90° gedreht) ist gut zu erkennen, wie von links unten 18 Leitungen nach oben geführt werden. Wo diese Potentiale in die Horizontale übergehen, sind es noch 16 Leitungen. Das passt sehr gut zu dem 16x16 Bit großen Speicher des EM4170. Die äußerst gleichmäßigen Strukturen des Speichers selbst zeichnen sich deutlich in der oberen rechten Ecke des Bilds ab.

Ungewöhnlich ist der breite Bereich, zwischen den 16 Datenleitungen und dem eigentlichen Speicher. Der Bereich unterhalb des Speichers enthält mit Sicherheit die Schaltungsteile zur Adressierung des Speichers. Nach links, wo die Daten erkennbar parallel ausgetauscht werden, wäre eine komplexe Logik eigentlich nicht notwendig. Es ist gut denkbar, dass sich in diesem Bereich zumindest ein Teil des Verschlüsselungsalgorithmus befindet und der Logikbereich in der Mitte des Dies hauptsächlich der Ablaufsteuerung dient.

 

EM4170 Die Detail

Unterhalb des Speicherbereichs befindet sich ein Schaltungsteil mit größeren Elementen und mehreren Kondensatoren. Mit ziemlicher Sicherheit wird hier die höhere Spannung erzeugt, die zum Beschreiben des EEPROMs notwendig ist.

 

zurück
oder unterstützt mich über Patreon
Creative Commons Lizenzvertrag