Объявление

Свернуть
Пока нет объявлений.

Об эмуляторе таксофонных карт для начинающих. Часть 1

Свернуть
X
Свернуть

  • Об эмуляторе таксофонных карт для начинающих. Часть 1

    На написание этой статьи меня сподвигнули жаркие споры на онлайн страницах Хакер'a по поводу создания эмулятора таксофонной карты. У многих кто только проникся идеей создания такового возникает множество вопросов: "а как это работает?", "а что означают контакты?" и т.д. Не буду рассматривать все существующие варианты карт, постараюсь остановиться только на московских картах, применяемых в МГТС. Итак, карты бывают нескольких видов, 6 или 8 контактные. В последнее время применяются в основном 6 контактные карты.
    Изображение на карте достаточно красноречиво , поэтому я постараюсь все объяснить. Итак, что мы видим перед собой? Я не буду загромождать ваши умы различной технической информацией о размерах карты, стойкости к внешним воздействиям и т.д. Перейду сразу к главному - что означают контакты и как их можно использовать в своих интересах.
    Итак, в порядке сверху вниз и слева направо: Самый верхний левый контакт - напряжение питания карты. Карта представляет собой микроэлектронное устройство которому необходимо питание. Напряжение питания карты равно +5V. Под ним располагается контакт Reset, еще ниже вывод Clock. При помощи этих контактных площадок и происходит управление картой. Различные комбинации управляющих сигналов устанавливают режимы работы карты и позволяют считывать и даже записывать информацию. Однако рано радоваться. Не все так просто. Перейдем к правому ряду контактов. Верхний правый контакт - "земля" или общий, площадка под ним не используется в нынешней реализации, и самая нижняя правая площадка - вывод I/O, или порт ввода/вывода. Через этот порт карта общается с внешним миром. Возникает вопрос, а можно ли считать информацию с карты? Да и не представляет особого труда для тех, кто не боится взять в руки паяльник. Трудной задачей может показаться изготовление надежного соединения с контатными площадками, но это-то как раз проще всего. Достаточно купить считыватель чип-карт, например в магазине "Мир соединений". Стоимость такого считывателя порядка 70 рублей. Во время посещения магазина стоит прикупить вилку разъема, втыкаемую в LPT порт компьютера, потому как именно через этот порт мы и будем "общаться" с картой. Стоит прикупить немного провода и кусок текстолита, на который впаяется считыватель. Хотя можно просто подпаяться к ножкам считывателя, но они достаточно хрупкие и могут легко отломиться. Не буду предлагать конкретную конструкцию, должны же вы проявить хоть немного самостоятельности. Наиболее нетерпеливые уже наверно ждут не дождутся когда, когда будет схема! Дождались. Вот вам схема соединений.
    Контакт
    CLK
    RST
    IORD
    IOWR
    LED
    CARD
    GND
    Сигнал
    D0
    D1
    ACK
    D3
    D2
    BUSY
    GND
    Вывод
    2
    3
    10
    5
    4
    11
    25
    Думаю стоит пару слов сказать о самой схеме. Питание карты изображено схематично. В качестве источниа питания вы конечно же можете использовать батарейку, но более правильно будет собрать простейший источник питания. Теперь о транзисторе. Транзистор для простого чтения карты не нужен. Но если вы решите экспериментировать с режимами аутентификации - он понадобится. Это может быть любой N-P-N транзистор, например КТ315. Старые радиогубители меня поймут... Ностальгия... В базу транзистора можно включить сопротивление, но и так работает... Светодиод и ключ необязательно, оди используются исключительно для удобства пользователя. Но наиболее требовательные к сервису могут их поиспользовать. Напоследок дам ссылочку на софт, правда на англицком языке. Об использовании, содержимом и прочем мы поговорим в следующий раз. На сегодня у меня все. Подумайте о материальном и подготовьтесь к следующему разговору.
    Перейти к Части 2

      Возможность размещать комментарии к сообщениям отключена.

    Метки статей

    Свернуть

    Меток пока нет.

    Новые статьи

    Свернуть

    • Эссе об авторизации таксофонных карт
      admin
      Путешествуя по рунету в поисках любой информации об эмуляторах смарт карт синхронного режима стандарта ISO7816 заметил интересную особенность: информации почти нет, а то что можно найти списано с одного источника (Phrack Magazine 48 выпуск) в разных вариациях. И ни слова я не нашел об авторизации смарт карт в таксофоне. На самом деле, любой кто подумывал о создании эмулятора...
      04.02.2017, 10:48
    • Устройства бесконтактной идентификации
      admin
      В общем случае система бесконтактной идентификации состоит из двух частей: ключ и считыватель.
      Ключ

      Ключ представляет собой миниатюрный чип и антенну, которые затем запрессовываются в некоторый корпус (пластиковая карточка, авторучка, подошва обуви и т. д.). На рисунке, взятом из технического описания на чип H4100 фирмы EM-Marin показана схема такого ключа. ...
      04.02.2017, 10:48
    • Трактат о проектировании эмуляторов таксофонных карт
      admin
      Я считаю, что было бы совершенно неправильно, если бы вообще кто-либо публиковал рабочую прошивку эмулятора, тем самым обесценивая полученный результат. Потом каждый ламер сможет фыркнуть на вашу работу - "это все из инета скачать можно ...". Если вы трахались над нею более года, вам будет очень обидно. А если учесть, что "золотые" телефонные карты продаются в питере по цене около ста баков за штуку, то и тем более не стоит.
      К тому же, очень многим прошивка не поможет. Такого, чтобы заработало сразу - не бывает. Грабли будут. А грабли обходить - нужно понимать, что ты делаешь, как оно все работает и как оно должно работать. В общем случае, достаточно наличия восхищения двумя книгами - "искусство программирования" кнута и "искусство схемотехники" хоровица / хилла. А большинству читателей этой конфы неплохо бы перечесть школьный курс физики в разделе "электричество". Чтобы было поменьше "гениальных" идей, типа ламинирования магнитной карты.
      А то, к примеру, вам потребуется собрать считыватель телефонных карточек. Вы припаяете правильно все проводки, запустите правильную прогу... А в сетапе компа стоит двунаправленный /eрр/ режим параллельного порта...
      И - жопа...
      Работать не будет. А это даже не грабля, это так - грабелька. В этой конфе постоянно жалуются, что не получается считать карточку. Прикидываю, поля, усеянные граблями, на которых заблудились эти несчастные.
      Но, я прикололся, и хочу показать, как примерно должна выглядеть разработка эмулятора. Дабы было меньше неконкретных вопросов на эту тему. При этом будут использованы ошметки моих первых, порой забавных, попыток в этой области. Ценность их для меня сейчас не велика, поскольку я и сам не знаю можно ли их довести до рабочего результата /то была тупиковая ветвь разработки/, но жалко, если какие-то изюминки пропадут, когда-нибудь, без следа, раздавленные клавишей F8. Пусть будут в эхе.
      Во избежание разглашения know нow я сменю микропроцессорную платформу, при обсуждении. Ее выбор будет более или менее дебильным. Таким, чтобы воспользоваться этим текстом, как инструкцией по сборке, было бы совершенно невозможно. Только, как руководством к действию. На пик процессоре эмулятор вы уж реализуйте на досуге как-нибудь сами...
      Итак, предположим вам втемяшилось в голову разработать эмулятор на самой неподходящей для этого платформе. Например, на однокристалке из семейства mcs-48 фирмы интел i8048, КР1816ВЕ48, i8035, i8039, etc./. Ну уперлись рогом и все тут.
      Процессоры 8048, 8035, при максимальной тактовой частоте 6 mнz исполняют одну команду за 2.5 или 5 мкс. А минимальные времена импульса и промежутка между импульсами сигнала clk при чтении карточки определены в 8 и 10 мкс. На период событий в нашей системе будут приходится 3-7 команд процессора. Ясно, что это недопусимо мало. Процессоры i8049 и i8039 чуть быстрее. К ним можно прилепить кварц 11 Mнz и команда будет выполняться за 1.36 или 2.72 мкс. Поскольку, таксофон, наверняка, работает с карточкой на частоте меньше максимальной (для надежности), может быстродействия нам и хватит. Если Будем экономить каждый такт процессора. Короче говоря, столь странный Камень выбран для того, чтобы сделать более выпуклой битву за быстродействие, которая является непременным спутником разработки любого эмулятора.
      Поскольку таксофон, при отнятии единицы, снимает питание с карточки и перечитывает ее заново, а встроенной энергонезависимой памяти в нашем проце нет, то ясно, что придется сделать внешнее питание. А то, при снятии питания, проц будет забывать сколько осталось единиц. Чтобы батарейка работала подольше, берем кмоп вариант проца. Чтобы никакие дополнительные мелкоcхемы, типа защелки или пзу-хи /27C16/ не потребляли лишнего тока, берем проц со встроенным перешиваемым пзу. Будем лить программу внутрь. Короче говоря, выбираем i87C49 (кажется у него даже есть аналог КР1835ВЕ49). Максимально допустимая частота кварца для этого процессора 11 mнz (одна команда за 1.36 или 2.72 мкс). Но, не забудем, что процессоры можно разгонять. Поэтому эксперименально подберем максимальную частоту кварца, при которой проц будет работать без глюков. Не забудем, при этом, контролировать частоту генерации Частотомером на ноге xtal2. А то, при подключении слишком высокочастотных кварцев, генерация может начаться на паразитных r и c, а не на частоте резонатора. Пик-процессоры, например, разгоняются аж в 2 раза. Мой PIC16C84-04/SO работал на 10 mнz-ах и изредка глючил на 11.7. А PIC16F84-10I/SO еще Пахал на 21mнz-е и напрочь отказался лишь на 24-х.
      Поскольку, эмулятор получается батарейным, то отпадает проблема, которая мучит разработчика эмулятора с питанием от таксофона - минимизация времени старта процессора. Таксофон, после подачи питания, делает жутко малую выдержку прежде, чем начать читать карту. Если, к этому времени поцессор не успел стартовать, исполнить секцию инициализации программы и добраться до главного цикла, то данные, прочитанные таксофоном, будут представлять совершеннейший shit. Но процессору-то надо дать время сброситься, а тактовому генератору раскочегариться и устаканить свои колебания. Напомню, что кварцевый резонатор начинает генерацию вовсе не сразу после подачи на него питания. Пик-процессор, например, при старте отсчитывает 1024 импульса от кварца, в качестве выдержки на стабилизацию его частоты, прежде чем начать ход по программе. Очевидно, что время между подачей напряжения питания и первым импульсом от кварца является просто мертвым временем, бесполезно увеличивающим время прихода процессора в чувство. Мертвое время зависит от величин емкостей, подключенных к выводам кварца и имеет четко выраженный минимум. Оно велико при слишком маленьких и слишком больших емкостях. У керамического резонатора это время порядка десятков микросекунд, а у кварца это - единицы миллисекунд ! Так-что, взяв двухлучевой запоминающий осциллограф, желательно минимум этого мертвого времени, для конкретного экземпляра кварца, найти, перебирая величины подключенных к нему емкостей.
      Опять таки, поскольку эмулятор получается батарейным, нет необходимости оптимизировать секцию инициализации программы. Можно, не торопясь, скопировать все или часть данных из пзу в озу. В нашем случае в озу Будут храниться только изменяемые данные, соответствующие кредиту карты. Неизменяемые данные (серийный номер карты, сертификат и т.п.) будут храниться в пзу. Для ускорения доступа к данным будем, при старте Программы, копировать данные в озу по тем-же адресам, что они лежали в третьей странице пзу. Это позволит использовать один указатель для доступа и к изменяемым и к неизменяемым данным.
      Теперь изобретаем схему. Схему всегда нужно проектировать так, чтобы программа для нее имела максимальное быстродействие. То есть первый этап оптимизации программы - схемотехнический.
      Во первых, смотрим - можно-ли обнаруживать какие-либо события аппаратно (а не программно), заводя сигналы на ноги прерывания микропроцессора. Пусть железо, жесткая логика, вберет в себя часть алгоритма. Нужно максимально использовать аппаратные возможности микросхемы, обрабатывая импульсы по прерываниям, а не опросом линии в цикле.
      Карточка, при чтении, по фронту clk увеличивает на один внутренний адресный счетчик. Но состояние своего выхода не меняет. И выдает новый Бит лишь по спаду сlk. Наш-же эмулятор, обнаружив clk, будет в течение нескольких команд процессора соображать по программе, что к чему и какой бит вывести. Поэтому ясно, что эмулятор должен срабатывать по фронту clk. Он будет выдавать следующий бит с задержкой от фронта. Если таксофон будет очень привередничать можно, вставляя noр-ы, манипулируя частотой кварца, а также выравнивая плечи по временам исполнения, приурочить этот момент как раз на спад clk. Хотя реально такие тонкости вряд-ли понадобятся. То есть необходимо прерывание по фронту clk. Но наш гребаный процессор имеет вход int, который срабатывает по отрицательному перепаду /из 1 в 0/. ну не ставить-же инвертор в самом деле. Волей-неволей с идеей прерываний приходится распрощаться. Будем опрашивать линии сами.
      Куда-же засунуть этот clk. Какой-нибудь программист тут-же ляпнул бы - да на порт ввода-вывода /например р1.0/. И обрабатывал линию бы так :
      in a,р1
      jb0 clock_рrisнel - в 4 такта процессора а если-бы условный переход нужен был бы по отсутствию clk : in a,р1
      cрl a
      jb0 netu_clocka - 5 тактов
      / команды jnb в этой варварской системе команд нету / А вот человек, исповедующий идею аппаратной оптимизации программ, засунул бы линию clk на ногу t0, а линию rst на ногу t1 и ветвился бы в два такта по обоим условиям - jt0, jnt0, jt1, jnt1.
      Вот линию out некуда присоединить, кроме как к какой-нибудь линии порта ввода-вывода. Причем приверженец схемотехничесого вылизывания программ предпочел бы именно нулевой бит какого-нибудь порта /например р1.0/. Почему ? А это предоставляет возможность писать максимально лаконичные куски кода для манипулирования этим выходом. Ниже вы это увидите.
      Но сначала вопрос - как хранить данные карточки, для максимально быстрого оперирования ими. Во первых как их вообще представлять - по биту в байте или упаковать по 8 бит в байт. Если хранить весь дамп Карты в 16-и байтах, то при чтении, а это самая быстрая операция карточки, пришлось бы проверять постоянно - надо ли читать следующийБайт или все еще вращать / сдвигать этот. Зато как легко выполнялся бы Writecarrу - послал в память байт ff и все. Но операция writecarrу будет происходить около 10 мс. Поэтому оптимизируем по быстродействию в пользу read, а уж при writecarrу времени послать 8 байт хватит. То есть храним данные карточки в 128-и байтах, причем смысл данных будет иметь только младший бит в байте. При этом, все операции получаются легко и непринужденно.
      Посылка следующего бита на выход :
      1. Неизменяемых данных из rom
        inc r0 - увеличение на единицу адресного счетчика
        mov a,r0
        movр3 a,@a - чтение байта из встроенного пзу
        outl р1,a - нужный бит данных на выходе р1.0
        остальные бита порта р1 никуда не подключены пусть изменяются как им угодно
      2. Изменяемых данных из ram inc r0 - увеличение на единицу адресного счетчика
        mov a,@r0 - чтение байта из встроенного озу
        outl р1,a - нужный бит данных на выходе р1.0

      Теперь в алгоритме нужно, как-то, определять какой байт читать из озу а какой из пзу. В каждом байте у нас осталось по 7 бесхозных бит. Пусть один из них (например первый) определяет статус данных - если он Сброшен, то данные надо искать в озу, а если выставлен - в пзу :
      inc r0 - увеличение на единицу адресного счетчика
      mov a,r0
      movр3 a,@a - чтение байта из встроенного пзу
      jb1 rom
      RAM: mov a,@r0 - чтение байта из встроенного озу
      ROM: outl р1,a - нужный бит данных на выходе р1.0
      Очень просто получается операция write :
      anl р1,#0feн - сбросить линию out в ноль
      inc @r0 - поскольку до write бит был заведомо выставлен, то после inc он будет заведомо сброшен.
      Операция writecarrу тоже выглядит вполне ничего для 10 мс, отведенных для нее. Поскольку до writecarrу восемь бит были заведомо нулевыми, восемь inc-ов сделают их заведомо единичными -
      mov a,r0 - текущий адресный счетчик
      anl a,#0f8h
      add a,#8 - вычислено начало восьмерки бит /лотка 8-чного абака/
      mov r1,a
      inc @r1
      inc r1
      inc @r1
      inc r1
      inc @r1
      inc r1
      inc @r1
      inc r1
      inc @r1
      inc r1
      inc @r1
      inc r1
      inc @r1
      inc r1
      inc @r1
      Короче говоря, исходный текст того, что получилось вы увидите в хвосте этого документа. В программе сами собой получились фичи, существенно необходимые для эмулятора, например, наличие 512-битного кольца данных. В реальной карте 9-битный адресный счетчик и он запросто переполняется. Правда, у нас получилось 256-битное кольцо. Но раз есть 256-битное, то и 512-битное тоже есть.
      Получившаяся программа обладает вполне не дурными временными характеристиками. По приходу clk, данные на выходе, появляются спустя 9-13 тактов процессора. Для 11 mнz-ового кварца это - спустя 12-18 мкс после фронта clk. Вполне пристойный результат для такой убогой архитектуры. Это лишь в 2-3 раза хуже того, что можно получить на пик-е. Впрочем, для некоторых типов таксофонов этого вполне достаточно. Кстати, у процессора i8049 128 байт встроенного озу, в отличие от 64 байт у i8048. Поэтому, можно, при инициализации программы, переместить все данные в озу. В результате в быстродействии операции чтения можно выиграть еще 2 такта. Переключать чтение данных из пзу в озу и обратно уже будет не нужно. Read: mov a,r0 - текущий адресный счетчик inc a - его увеличение anl a,#7fн - кольцо теперь должно быть 128-битным mov r0,a mov a,@r0 - чтение из озу outl р1,a - бит данных на выход Но я, из принципа, написал код, который бы работал на любом процессоре cемейства mcs-48. А теперь пара нетривиальных советов по программированию однокристалок. Напрочь забудьте то, как вас учили программировать. Программу надо писать так, чтобы дейкстра (основатель структурного программирования), Прочитав ее, #%нулся бы в обморок. И приправить ее солидной порцией шизы. Есть примета, что программы для такого рода вещей, написанные без доли шизы, реально не работают. На некоторых архитектурах, особливо интеловских, без извращений - никак. Например, в нашей программе часть данных, соответствующая кредиту карты копируется в озу. Причем эти данные полностью перекрывают область стека. Но, поскольку, я нигде не вызываю подпрограмм и прерывания у Меня запрещены, то что тут такого ? Дамп карточки в программе лежит не по порядку, а завернувшись в кольцо, используя то обстоятельство, что адресный счетчик r0 переполняется /точнее лежит полузавернувшись в кольцо, или завернувшись в полукольцо, как кому больше нравится/. В результате возможно всего двумя командами mov a,r0 jb7 failure Различать попытку записи в область единиц и попытку записи в Manufacturer area. Таксофон так делает, в качестве противодействия Эмуляторам. Эта изюминка с кольцом, требует волей-неволей организовать другую - адреса 0 и 1 используются одновременно и как рабочие регистры r0 и r1, И как ячейки для хранения двух бит кредита карты. Фокус в том, что приходящиеся на эти ячейки биты дампа карты (два старших бита кредита) всегда должны быть нулевыми, поскольку не бывает карт с кредитом больше Чем 7*4096-1=28671 единица. И всегда, когда к r0 и r1 обращаются, как к хранителям дынных карточки, они оказываются с нулевым младшим битом ! Каким образом так получается ? Регистр r0 используется как адресный счетчик (указатель). Когда ему случится указать на самого себя, он, естественно, будет равен нулю, а значит и младший бит его будет равен нулю. Регистр r1 всегда, по окончании использования, - anl a,#0f8н ; a.0 ...
      04.02.2017, 10:48
    • Тайна карт Московского метрополитена
      admin
      ...
      04.02.2017, 10:48
    • Протокол POCSAG и его применение
      admin
      Формат POCSAG-кода.
      Информация на пейджер в стандарте POCSAG передается в двоичном виде,по битам. Структура посылки изображена рис. 1.
      Преамбула Пакет 1 . . . Пакет N
      рис. 1
      Каждая передача начинается с преамбулы - последовательности битов:10101010... - по этому сигналу производится предварительное включение пейджера и определяется скорость передачи данных ( 512/1200/2400 ). Далее следуют пакеты с данными. Каждый пакет представляет собой последовательность из 17-ти кодовых слов (рис. 2), кодовое слово (CW) - последовательность из 32-х битов. Кодовые слова бывают:
      • синхронизации - для синхронизации фреймов в пакетах.
      • адреса - для передачи САР - кода, рис.3.
      • сообщения - для передачи текста сообщения, рис.4.
      • пустые - для заполнения пустых фреймов.
      Фрейм 0 Фрейм 1 Фрейм 2 Фрейм 3 Фрейм ... Фрейм 7
      ...
      04.02.2017, 10:48
    • Приемники пейджинговых сообщений
      admin
      Телевизор в качестве приёмника...
      04.02.2017, 10:48
    Обработка...
    X