Копіювальник домофонних ключів на pic12f675. Як зробити копію ключа для домофону в домашніх умовах

Не забудьте задати номер свого оригінального ключа у масиві key_to_write, Який ми дізналися раніше.

Завантажимо цей скетч до Arduino. Відкриємо монітор послідовного порту (Ctrl+Shift+M). Підключимо до схеми ключ, який буде клоном оригінального ключа. Про результат програмування монітор послідовного порту виведе відповідне повідомлення.

Якщо цей скетч не спрацював, спробуйте замінити код після Serial.print("Start programming...")і до кінця функції loop()на наступний:

Тут функція writeByte()буде наступною:

Тимчасову діаграму роботи скетчу запису ідентифікатора ключа показувати безглуздо, т.к. вона довга і не поміститься малюнку. Однак файл *.logicdata для програми логічного аналізатора прикладаю наприкінці статті.

Ключі домофону бувають різних типів. Цей код підійде не для всіх ключів, а лише для RW1990 чи RW1990.2. Програмування ключів інших типів може призвести до виходу з ладу!

За бажання можна переписати програму для ключа іншого типу. Для цього скористайтесь технічним описом Вашого типу ключа (datasheet) та змінити скетч відповідно до опису. Завантажити datasheet для ключів iButtonможна у додатку до статті.

До речі, деякі сучасні домофони читають не лише ідентифікатор ключа, а й іншу інформацію, записану на оригінальному ключі. Тому зробити клон, скопіювавши лише номер, не вийде. Потрібно повністю копіювати дані ключа.

4 Опис однопровідногоінтерфейсу 1-Wire

Давайте трохи глибше ознайомимося з інтерфейсом One-wire. По організації він схожий на інтерфейс I2C: у ньому також має бути присутнім провідний пристрій (master), який ініціює обмін, а також один або кілька ведених пристроїв (slave). Усі пристрої підключені до однієї загальної шини. Пристрої iButton – завжди ведені. Як майстра найчастіше виступає мікроконтролер чи ПК. Швидкість передачі становить 16,3 кбіт/сек. Шина в стані очікування знаходиться у логічній "1" (HIGH). У цьому протоколі передбачено лише 5 типів сигналів:

• імпульс скидання (master)
• імпульс присутності (slave)
• запис біта "0" (master)
• запис біта "1" (master)
• читання біта (master)

1) Ініціалізація

Ініціалізація полягає в тому, що ведучий виставляє умову скидання RESET (на час від 480 мкс або більше опускає лінію в "0", а потім відпускає її, і за рахунок резистора, що підтягує, лінія піднімається в стан "1"), а ведений не пізніше ніж через 60 мкс після цього повинен підтвердити присутність, також опустивши лінію "0" на 60...240 мкс і потім звільнивши її:

2) Команди роботи з ПЗУ

Якщо після імпульсу ініціалізації не надійшов сигнал підтвердження, майстер повторює опитування шини. Якщо сигнал підтвердження прийшов, то майстер розуміє, що на шині є пристрій, який готовий до обміну, і надсилає йому одну з чотирьох 8-бітових команд роботи з ПЗУ:

(*) До речі, сімейств пристроїв iButton існує чимало, деякі з них перераховані в таблиці нижче.

Дані передаються послідовно, біт за бітом. Передачу кожного біта ініціює провідний пристрій. При записі ведучий опускає лінію до нуля та утримує її. Якщо час утримування лінії дорівнює 1...15 мкс, це означає, що записується біт "1". Якщо час утримання від 60 мкс і вище – записується біт "0".

Читання бітів також ініціюється майстром. На початку читання кожного біта майстер встановлює низький рівень на шині. Якщо ведений пристрій хоче передати "0", воно утримує шину в стані LOW на час від 60 до 120 мкс, а якщо хоче передати "1", то на час приблизно 15 мкс. Після цього ведений відпускає лінію, і рахунок підтягуючого резистора вона повертається у стан HIGH.

Ось так, наприклад, виглядає часова діаграма команди пошуку Search ROM (0xF0). Червоний колір на діаграмі позначені команди запису бітів. Зверніть увагу на порядок проходження бітів при передачі по 1-Wire: старший біт праворуч, молодший - ліворуч.

3) Команди роботи з ППЗУ

Перш ніж розглядати команди для роботи з ППЗУ iButton, необхідно кілька слів сказати про структуру пам'яті ключа. Пам'ять розділена на 4 рівні ділянки: три з них призначені для зберігання трьох унікальних ключів, а четверта - для тимчасового зберігання даних. Цей тимчасовий буфер служить своєрідною чернеткою, де дані готуються для запису ключів.

Для роботи з ППЗУ існують 6 команд:

4) Передача даних

Далі буде...

5 Можливі помилкипри компіляції скетчу

1) Якщо при компіляції скетчу виникне помилка WConstants.h: No such file або directory #include "WConstants.h",те, як варіант, слід у файлі OneWire.cppзамінити перший блок після коментарів на наступний:

#include #include extern "C" (#include #include }

2) Якщо при компіляції з'являється помилка class OneWire не має member named read_bytes,то знайдіть та спробуйте використати іншу бібліотеку для роботи з інтерфейсом OneWire.

Ти втратив ключі від домофона, і не можеш зробити дублікат. Хочеш ходити в гості до подруги, але не маєш ключів від її під'їзду. Або просто тобі треба підсмажити твоєму недругу, але ти не можеш потрапити до нього в будинок, тоді ця стаття для тебе.

Пара слів про принцип роботи.
Існує думка, що в таблетках від домофону знаходиться магніт, і він відчиняє двері. Ні це не так. Пігулка є ПЗУ, з жорстко зашитим в ній ключем. Називається це ПЗП - Touch Memory, марки DS1990A. DS1990A – це і є марка домофонних ключів. Спілкується із домофоном по шині one-wire (однопровідний інтерфейс). Ця шина розроблена фірмою Dallas і дозволяє спілкуватися двом пристроям лише по одному дроту. Якщо пристрій пасивний (як у нашому випадку), він ще й передає йому живлення з цього дроту. Треба ще помітити, що необхідний ще загальний провід (щоб ланцюг замикався), але, як правило, всі землі пристроїв, підключених до цієї шини, з'єднані воєдино. У ключі знаходиться конденсатор на 60 пікофарад, який забезпечує короткочасне живлення ключа на момент відповіді. Але провідний пристрій повинен постійно (не рідше ніж раз 120 мікросекунд) генерувати сигнал одиниці, для зарядки цього конденсатора, щоб ПЗУ в таблетці продовжувало живитися.

Внутрішній пристрій таблетки

Організація шини One-wire
Шина One-wire працює в такий спосіб. Є провідний пристрій Майстер і ведений пристрій, у нашому випадку пасивний ключик. Основні сигнали генерує майстер, сигнали логічної одиниці та нуля. Ведомий пристрій може лише примусово генерувати сигнали нуля (тобто просто просаджувати шину на землю через транзистор). Спрощена схема ведучого та веденого пристрою показана на картинках.

Схема майстра

Якщо поглянути на схему, неважко помітити, що за умовчанням у майстра завжди варто +5 вольт, а ля логічна одиниця. Для передачі логічного нуля майстер через транзистор замикає шину на землю, а для передачі одиниці просто розмикає. Це зроблено для забезпечення живлення веденого пристрою. Проведений пристрій зроблено аналогічно, тільки він не генерує +5 вольт. Воно може тільки просаджувати шину на землю, тим самим передаючи логічний нуль. Логічна одиниця передається просто "мовчанням" пристрою.

Протокол роботи
Відразу можна однозначно помітити, що парадом править тільки Майстер, сам ключик DS1990A або утримує землю (майстер її сам виставляє шину в нуль), або просто відмовчується, якщо він хоче передати одиницю, він просто мовчить. Дивимося малюнок.

Приклад читання домофон ключа.

Після генерації ключем імпульсу PREFERENCE майстер девайс вичікує деякий час і видає команду на читання ПЗУ, зазвичай це код сімейства, в нашому випадку 33H. Зверніть увагу, як зроблено передачу нуля та одиниці. У будь-якому випадку імпульс «роняється» на землю, але якщо передається одиниця, то він швидко відновлюється (близько 1 мікросекунди), якщо має бути нуль, то імпульс деякий час «висить» на землі, потім повертається знову в одиницю. Повернення в одиницю потрібне для того, щоб пасивний пристрій постійно поповнював енергію конденсатора, і на ній було живлення. Далі домофон витримує деякий час і починає генерувати імпульси прийому інформації, всього 64 імпульси (тобто приймає 64 біти інформації). Ключ лише має правильно зіставити тривалості. Якщо він хоче вивести нуль, то він утримує шину якийсь час у нулі, якщо ж ні, то просто мовчить. Решта за нього робить домофон.

Вміст ключа DS1990A.
У домофонах і просто пристроях, де для відкриття дверей використовуються подібні пристрої, застосовується ключ стандарту DS1990A. Цей пристрій є 8-байтовим ПЗУ, з інформацією записаної лазером.

Схема Дампа ключа.

У молодшому байті міститься код сімейства. Для DS1990A він завжди дорівнюватиме 01h. У шести наступних байтах міститься серійний номер ключа. Те саме потаємне, що ідентифікує ключик. Останній байт називається CRC, це контроль парності, що забезпечує справжність переданих даних. Він обчислюється із семи попередніх байт. До речі, це не єдиний стандарт. Існують ПЗУ, що перезаписуються, на яких можна носити інформацію, також є ключі шифрування. Але все різноманіття таблеток Dallas просто неможливо розглянути в рамках однієї статті, про них можна почитати на диску.

Фізичні пристрої ключа.
Напевно, все вищесказане відбило будь-яке бажання займатися емуляторами ключів, адже ключ треба прочитати, а це такий геморр. Виявляється, ні! Виробники Dallas подбали про нас і всю необхідну нам інформацію розмістив безпосередньо на ключі, при тому в шістнадцятковій системі! Вона вигравірувана на ньому і її цілком можна прочитати, а потім надалі зашити в наш чудовий емулятор.

Морда ключа

Нас цікавить із цієї інформації наступне:

CC = CRC - це байт контролю парності 7-й байт у прошивці
SSSSSSSSSSSS = дванадцять ніблів //нібл = 1/2 байти// серійного номера, тобто. ключа в хекс кодах.
FF = код сімейства, у разі дорівнює 01h — нульовий байт нашого ключа.

Виходить, що ми можемо просто написати програму, забити в неї весь ключ, переписавши ручками візуально з справжнього ключа дамп, і отримаємо готовий емулятор. Достатньо просто взяти у недруга ключик до рук і переписати те, що на ньому написано. Що я загалом з успіхом і зробив. :)

Емулятор.
От і дійшли ми до найсмачнішого – емулятора ключів від домофону. Спочатку я знайшов на якомусь сайті готовий емулятор, зашив його у свій АТ89С51 і він не заробив (що не дивно). Але це не спортивно юзати чужі прошивки та відловлювати чужі, спеціально залишені баги в коді. Тому я почав робити свої емулятори і писати під них свої програми. Загалом, я спробував зробити емулятор на 6 різних мікроконтролерах, різних архітектур, що належать двом сімействам AVR та i8051, всі виробництва Atmel. Заробив не на всіх, і програм було написано безліч. Спочатку ставилися взагалі наполеонівські завдання зробити універсальний емулятор з можливістю добірки ключа, але потім я залишив цю витівку в силу її геморойності та безглуздості, нехай їй займуться інші люди, кого зацікавить дана стаття. Але собівартість емулятора, крім витрачених праць менше 70-80 ре, можна навіть вкластися в 30 ре, якщо робити, наприклад на ATtiny12.

Принцип дії емулятора.
Ми докладно розглянули принцип роботи домофона, і відповідно не складе великої проблеми описати алгоритм програми емулятора DS1990A. Дивимося уважно на діаграму, і думаємо, що треба зробити. А робити треба таке. Нога мікроконтролера, що висить у повітрі (поки не приєднана до землі, імпульс ресета) буде вважатися контролером логічною одиницею. Значиться так, ми після подачі харчування на котроллер повинні чекати того, поки наша ніжка не піде на землю, а ля в нуль. Як ми почули нуль, радіємо, чекаємо деякий час і переводимо порт із режиму читання в режим запису. Потім кидаємо шину в нуль, і тримаємо її деякий час - генеруємо імпульс PRESENCE (тривалості імпульсів дивись у датасіті). Далі знову переводимо шину в режим читання, і чекаємо що нам скаже майстер — домофон. Він нам скаже команду читання, що складається з 8 біт. Декодувати її будемо, т.к. в 99,999% випадків він нам скаже команду дати свій дамп, а ля 33H, просто відраховуємо 8 імпульсів і не паримося. Далі чекаємо. І починається найскладніше і найцікавіше — треба швидко дивитися, що нам каже домофон і відповідати йому теж швидко. Нам потрібно побитно видати серійний номер, що складається з 8 байт, про які я говорив вище. Я це робив так (не важливо, який мікроконтролер, принцип скрізь один буде), завантажував байт у якийсь вільний регістр, і зрушував його вправо, і дивився біт переносу. Як тільки домофон упускає шину в нуль, то якщо у мене прапор переносу встановлений в одиниця, то я просто відмовчуся на цей імпульс, і чекаю генерації наступного імпульсу читання біта від майстра. Якщо ж у мене у прапорі перенесення знаходиться нуль, то після того, як домофон впустить шину на нуль, я перекладаю порт мікроконтролера в режим виведення і примусово утримую шину в нулі деякий час, потім відпускаю і назад перекладаю порт контролера в режим читання. По тривалості імпульсу землі пристрій майстер розуміє, передана була йому одиниця чи нуль. В принципі все, далі домофон повинен радісно закричати і відчинити двері.

практика.

Тестер плати. Вид напис dallas.

Після невеликого геморою та війни з відладчиком вийшов код. Ось приклад коду виведення даних домофону на AT89C2051. (Взагалі AT89C2051 це хоч і популярний, але застарілий контролер. Один з перших які я програмував. Периферії мінімум, пам'яті теж всього нічого. Шиється тільки високовольтним програматором. Хоча є його нова заміна AT89S2051 його вже можна прошити внутрішньосхемно через якийсь AVR ISP, а може і через AVRDUDE - не перевіряв.Найцікавіше в тому, що він сумісний по ногах з ATTiny2313 так що код можна портувати і на Тиньку.

DI HALT:
Цей код пекла ми писали у з Довгим у далекому 2006 у його квартирі. Уржались до гикавки над своїми тупняками. Я тоді ще вперше помацав AVR. Сидів фігачив на зовсім незнайомому мені асемблері процедури читання з EEPROM, Довгий же колупав демоплатку для свого майбутнього емулятора. Особливо запам'ятався мій прикол з очдогом, коли у мене МК скидався під час запису в ЕЕПРОМ і випилювання мікросхеми пам'яті i2c з плати за допомогою відрізного кола. Ех… ніщо, зганяю до Москви ми знову відпалимо!

;======================================== ; Видача до лінії серійника; in: R0-адрес де лежить серійник з типом таблетки і CRC8; USES: A,B,R0,R1,R2 ;====================================== ================== DEMUL_SendSer: mov R2,#8 SS3: mov ACC,@R0 mov R1,#8 SS2: JB TouchFuck,$ ;очікуємо, коли шину впустять в нуль 1->0 RRC A; C: = A.0; shift A; mov TouchFuck, C; TouchFuck: = C; MOV B,#9 DJNZ B,$ ;Delay 20 us setb TouchFuck JNB TouchFuck,$ ;цикл поки 0 DJNZ R1,SS2 inc R0 DJNZ R2,SS3 ret ;=============== =========================================

Результати.
В результаті я отримав безліч емуляторів. Щоправда, деякі ще з них треба доводити до ладу. Хоча дещо 100% робітники. Приклади емуляторів можеш подивитися на фотках.

Фотографії емуляторів

Найбільш цікавою є перевірка CRC, яка здійснюється домофоном. Тобі знадобиться це, якщо ти захочеш поставити Dallas замок, наприклад, на свій комп. Приклад розрахунку CRC на A89C2051 (хоча цей код працюватиме на всіх мікроконтрерах сімейства i8051).

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

DO_CRC: PUSH ACC ;save accumulator PUSH B ;save the B registr PUSH ACC ;save bits до shifted MOV B,#8 ;set shift = 8 bits ; CRC_LOOP: XRL A,CRC ;calculate CRC RRC A ;move it to carry MOV A,CRC ;get the last CRC value JNC ZERO ;skip if data = 0 XRL A,#18H ;update the CRC value ; ZERO: RRC A ;position the new CRC MOV CRC,A ;store the new CRC POP ACC ;get the remaining bits RR A ;position the next bit PUSH ACC ;save the remaining bits DJNZ B,CRC_LOOP ;repeat for eight bits POP ;clean up the stack POP B ;restore the B register POP ACC ;restore the accumulator RET

DO_CRC: PUSH ACC ;save accumulator PUSH B ;save the B registr PUSH ACC ;save bits до shifted MOV B,#8 ;set shift = 8 bits ; CRC_LOOP: XRL A,CRC ;calculate CRC RRC A ;move it to carry MOV A,CRC ;get the last CRC value JNC ZERO ;skip if data = 0 XRL A,#18H ;update the CRC value ; ZERO: RRC A ;position the new CRC MOV CRC,A ;store the new CRC POP ACC ;get the remaining bits RR A ;position the next bit PUSH ACC ;save the remaining bits DJNZ B,CRC_LOOP ;repeat for eight bits POP ;clean up the stack POP B ;restore the B register POP ACC ;restore the accumulator RET

Висновок.
Як бачиш, домофонні ключі влаштовані не так просто, як здається. Однак, земулювати їх доступно кожному, хто володіє програмуванням і паяльником.

DI HALT:
Справи давно минулих днів, перекази старовини глибокої… Довгий WDR! (зрозуміло буде лише присвяченим;)))))

Доредакційна версія статті з журналу «Хакер»

Добридень! Якось набридло платити по 150 рублів за копію ключа від домофона і вирішив зібрати простий бюджетний дублікатор iButton на Arduino. Ціни на подібні готові пристрої «кусаються», хоч і функціонал у них ширший, копіюють практично все, включаючи бездротові ключі. Мені досить простого копіювання ключа iButton а-ля "кнопка". Цікаво? Прошу під "cut"!

Отже, почнемо! Для початку «техзавдання», що має вміти цей пристрій:
1) Читати вміст ключа, цікаво ж там зашито.
2) Копіювати ключі, хоч як це дивно звучить:)
3) Прошивати "універсальний" ключ. Під словом «універсальний» розумітимемо якийсь свій ключ, який записуватиметься за замовчуванням.

UPD. Дуже важливо!Якщо перший байт, family code, буде 00 , наприклад 00 :12:34:56:AB:CD:EF: AA, то після прошивки ключ «помре», читатись він вже цим програматором, а можливо й іншими, не буде. Виявлено досвідченим шляхом, дякую товаришу 16 :AB:CD:EF:E0 з природно невірною контрольною сумою E0. Оскільки контрольна сума неправильна, то домофон ігнорує цю послідовність при зчитуванні. Цей домофон занапастив всі ключі, що перезаписуються, поки я розбирався в чому справа і чому «самі по собі» змінюються дані в ключах. У результаті дублікат до цього домофону зробити не вдалося, довелося йти в обслуговувальну організацію та замовляти ключик за 100 рублів. :)