你好,GT。 我想向社区提供我对智能锁的看法,安全研究人员和偏执狂的看法。 本文的诞生是为了对这篇文章
Dooris Clever Lock进行详细评论。 但是最后,评论变得太分心了,我决定定稿并独立提交。
在进步问题上,我并不保守。 我相信物联网是非常有希望的事情,我正在等待没有驾驶员的汽车,我相信可穿戴电子设备以及NFC标签的植入只会因缺乏可能会获得的真正有趣的附加功能而停滞不前。 这就是为什么当事物获得形容词“智能”时我感到高兴的原因。 但是,不仅技术应该是聪明的,而且技术的开发者也应该(最好是用户)。
在简短介绍之后,我将立即发表主要论点-智能锁不应打开公寓。 你去。 而且,从原则上讲,这在机械上应该不是不可能的,也不是软件禁令。
论点1.我不信任开发者我对Alexander感到
不满意 ,但他能保证没有可用来打开门锁的书签吗? 它可以是“标记”特殊“数据包全地形车”的软件书签,也可以是例如在磁簧开关上的硬件书签。 最糟糕的是,它可能是现实世界中的一个平凡的错误。 作者本人提到
“此外,如果您在敲门的同时以某种方式旋转门,则Doortis可能会在门打开时错误地锁定门。”
从城堡的角度来看,据我所知,向哪个方向旋转并不是特别重要,因此可能会读到上面的短语,并表示为“……关闭门时打开门是错误的……”。 为了使代码中没有书签,作者建议发布源代码。 我很抱歉,也许我落后于生活,但是当我还是一名程序员时,比较源代码和二进制文件的任务非常困难。 我很无语,仍然需要从锁中取出二进制文件。 这是唯一的固件吗? 锁内只有一个控制器吗? 他有引导程序吗? 但是您不能通过空中刷新它吗?
论点2.开发人员可能是错误的并不一定是电子锁的开发商。 实际上,该论点是对前一个论点的修改。 无线驱动程序程序员也是人们,而且《
Ping of Death》虽然很久以前,但它并不是虚构的。 我不希望因为有人通过智能手机路过而打开门,智能手机的
蓝牙名称以数字开头 。
论点3.我不信任互联网治理如果城堡可以通过Internet进行控制,那么攻击的媒介将增加很多倍。 这台服务器在哪里? 如果开发人员具有集中式服务器,则他们可以以99%的概率打开我的锁。 如果服务器从客户端启动,则前两个参数已应用于此服务器。
怎么办您批评-提供。 由于锁无法打开门,怎么办? 就我个人而言,锁的一个常见问题是我不记得了,但是我关闭了吗? 因此,在智能锁中,我主要看到用于通过Internet监视关闭的功能。 这样一来,我可以随时在一个特殊的地方查看一切都很好-门已关上。 如果不是这样,那么他可以很快注意到它。
但这不是那么简单-作为一个偏执狂,我不想让任何人知道我的门是否打开。 密码学FTW。 在我看来,协议系列
“将位存储”是完美的。 该协议方案系列允许您确认任何数据而无需直接公开它们。
另外,我会提到另一个功能。 有机会关闭锁。 颇有争议的功能。 实际上,它的唯一用途是早晨他们离开并没有关上门,浏览网站或应用程序后发现,然后锁上了锁。 但是这种功能的存在增加了很多问题。
有人可以代替您而关闭门(上面的所有三个参数)。 您出去扔垃圾,现在站在外面的同一拖鞋中。 保护越可靠,使用起来就越不方便。 我看到了类似的情况-在锁上,您可以按组合锁的方式设置代码组合。 仅发送这样的组合将关闭门,并且在关闭组合后将被重置。
此外,电动机通常并不关心旋转的方向。 此外,逆时针旋转并不总是会关闭门。 因此,事实证明,“以编程方式”,如果门可以关闭,则可能会打开。 在这里,解决方案如下-在设置阶段,用户会物理地阻止锁在一侧的旋转(以棘轮螺丝刀的方式)。 但是那样很难用钥匙打开这种锁。
通常,一个颇有争议的功能虽然可以提供帮助,但可能难以实现。
在本文中,我试图提出我对智能城堡的看法,并邀请那些希望在评论中进行辩论的人。