Ou melhor dizendo - Tentando desvendar Controle Remoto RF.

Depois que consegui fazer funcionar o Analisador Lógico com o Arduino, tenho feito várias verificações que sempre quis fazer. Fiz uma análise de controle remoto usando a Luz infravermelha e agora estou fazendo uma análise mais apurada de controle remoto que usa Rádio-frequência RF).

Tutorial - Analisador Lógico com Arduino:

http://labdegaragem.com/profiles/blogs/tutorial-analisador-l-gico-c...

Decodificando Controle Remoto infravermelho:

http://labdegaragem.com/profiles/blogs/6223006:BlogPost:315534

Já li em vários Blogs do Lab de Garagem, que muitos desejam usar o Controle Remoto RF com o Arduino.

Para a minha decepção e acredito que  muitos se decepcionarão também, os controles remotos atuais são criptografados.Por isso, alguns já tentaram usar e falharam.

Para entender melhor, fiz uma análise do Controle Remoto do fabricante Rossi. (aciona a abertura e fechamento de portões de garagem). Esse controle usa o chip HCS201 da Microchip:

http://ww1.microchip.com/downloads/en/DeviceDoc/41098c.pdf

Possui dois botões (chaves) S0 e S1. A frequência da portadora é de 433,92 MHz. Usa uma pilha de 12V.

O link da Rossi portões, com os circuitos de controle de portões:

http://www.rossiportoes.com.br/produtos/120-central-de-comando.html

Lendo o data sheet do chip HCS201 da Microchip, percebi que a tecnologia usada é bem segura.

Ele é bem versátil - cada chip tem um número de série programável de 28 bits e uma chave de criptografia de 64 bits (acredito que é impossível descobri-la) . Essas informações são gravadas pelo fabricante do controle remoto (no caso a Rossi).

Cada transmissão tem um código diferente, por isso, se o circuito receptor não souber a chave criptográfica do fabricante, não haverá rotina de decodificação que permita identificar qual código foi transmitido. Fiz vários testes e comprovei ! Pressionei várias vezes o botão S1 e a cada momento o trem de pulsos era de um formato diferente.

Seria possível usar o controle remoto, desde que usasse um chip programado pelo desenvolvedor.

Assim a rotina de decodificação usaria a chave gravada no chip.

Vejam que interessante as várias telas capturadas usando o Analisador Lógico com o Arduíno.

Minhas medições foram no saída TX OUT do chip HCS201. Alimentei o controle remoto com 5V para não danificar o Arduino.

Essa captura foi feita pressionando o botão S1 - taxa de amostragem de 5 KHz :

Vejam que tem 12 pulsos de preambulo para sincronização :

Taxa de amostragem de 10 Khz.

Os 12 pulsos de preambulo usam a largura de pulso de 780 us:

(taxa de amostragem 50 KHz) 

Para decodificar os bits 0 e bit 1 :

Esse é o formato do Bit 0 : (taxa de amostragem 50 KHz) 

E esse é o formato do Bit 1 : (taxa de amostragem 50 KHz) 

Exibições: 87368

Responder esta

Respostas a este tópico

Foto do chip do controle

Muito obrigado por responder, essa é a foto que tirei do chip do controle, é um HT6P20B, acredito que a frequência seja essa mesma porque estou decodificando o sinal com um receptor 433Mhz que comprei aqui na loja do Lab de Garagem, para decodificar estou usando uma biblioteca que fiz com base nos códigos que o Turcato disponibilizou. Fiz um debug no código de recepção para exibir os bits que estão chegando, e tanto o sinal do transmissor do arduino quanto o do controle estão chegando iguais, não sei porque o portão não aciona.

Debug no sinal do controle

HEX Value: 2A26FC
DEC Value: 2762492
BIN Value: 1010100010011011111100
Button 1: 0
Button 2: 1
Lambda: 488
Buffer Value: 1010100010011011111100010101

Debug no sinal do transmissor
HEX Value: 2A26FC
DEC Value: 2762492
BIN Value: 1010100010011011111100
Button 1: 0
Button 2: 1
Lambda: 486
Buffer Value: 1010100010011011111100010101

Foto do transmissor

Uma pergunta: tem dois Arduinos para testar a transmissão em um, e a recepção em outro?

Assim teria certeza que o que esta sendo transmitido esta correto.

Era para funcionar.

Nunca testei o programa do Turcato para emulação.

Sim testei em arduinos diferentes, o 1º está com o transmissor e fica em loop enviando 3 sinais consecutivos com intervalos de 2 segundos, e o 2º tem o receptor que está recebendo esses sinais corretamente. Enfim, resolvi dar uma olhadinha no circuito do meu portão basculante, e tirei 2 fotos, uma visão geral superior e outra com close no chip receptor do mesmo.

Visão geral superior (clique na imagem para ampliar)

Close no chip receptor do portão (clique na imagem para ampliar)

Talvez consiga trocar esse receptor, caso não descubra uma maneira menos invasiva, sem hackear a placa.

Olá Danilo!

Vi suas questões lá no Blog.

Veja minha resposta lá e caso não funcione me retorne com mais detalhes.

link:

https://acturcato.wordpress.com/2014/01/14/clonagem-de-controle-rem...

Olá Turcato, respondi lá no seu blog, e postei aqui acima umas imagens do circuito do portão.

É uma opção também, porém a solução ideal e sem custos seria conseguir transmitir o sinal clonado do controle, sendo que já tenho o transmissor e o sinal que preciso enviar, só não estou conseguindo enviar corretamente por algum motivo que ainda não consegui identificar.

Luis Farias, conforme eu  já havia mencionado no tópico e também comentado pelo Turcato, já existe um sistema criptografado.

E a maioria dos fabricantes brasileiros tem usado esse sistema Keeloq.

Isso mesmo Luis!

É por esse motivo q foi criado o algoritmo KeeLoq pela Microchip.

Nele os códigos são criptografados utilizando chaves dinâmicas. Os controles que utilizam chip HCS201 possuem esta tecnologia.

Veja mais detalhes em:

http://acturcato.wordpress.com/2014/01/14/clonagem-de-controle-remo...

Tem essa matéria bem legal falando q alguns pesquisadores conseguiram "hackear" o KeeLoq.

http://www.wired.com/2007/08/researchers-cra/

A matéria é de 2007!

Não sei o q a Microchip deve ter feito depois disso.

Alguém sabe?

Luis , acho muito interessante engenharia reversa.

Já fiz de vários equipamentos. Adoro  desafios...

Já até postei um metodo fotografico que uso para fazer levantamento de placas de circuitos. 

https://www.flickr.com/photos/jgustavoam/sets/72157638878341744/

E o objetivo é entender como funciona, para poder fazer melhor.

Abraços.

Luis, a Adafruit comercializa web cams com lente para trabalhos com circuitos.

https://www.adafruit.com/search?q=microscope

Luis , eu uso essa lente com suporte na cabeça.

Muito boa - eu recom,endo VUEMAX PRO

https://www.google.com.br/search?q=vuemax-pro&espv=2&tbm=is...

Estava analisando 2 controles com chip HT6P20B que tenho em casa. Um do automatizado XX do portão eletrônico e outro de uma central de alarmes da YY.

Me parece que mesmo usando o chip HT6P20B a implementação foi diferente para o caso da central de alarmes da YY onde e transmitido um código incremental junto com ID do controle (suponho). Verifiquei que o controle da central YY pode comandar o portão, porem o controle do portão não comanda a central YY. Uma fato interessante e que nas especificações do controle dessa central YY e informando que o código dele e Rolling Code. Me parece que mesmo usando o chip HT6P20B o controle da central de alarmes e seguro e tem poucas chances de ser clonado pelos métodos citados neste tipico.

RSS

© 2024   Criado por Marcelo Rodrigues.   Ativado por

Badges  |  Relatar um incidente  |  Termos de serviço