Forum: Mikrocontroller und Digitale Elektronik AVR: Interne EEPROM-Verschlüsselung sinnvoll?

Ben B. schrieb:
> Richtig oder falsch?

Richtig.

A und O bei Verschlüsselung ist das key management.

> Was machen kommerzielle Projekte in solchen Fällen, die noch mehr auf
> Sicherheit achten müssen als ich mit meinem kleinen Hobbyprojekt?

Wenn es richtig ums Geld geht, nimmt man gleich einen Cryptoprozessor.

Ansonsten kann man noch sowas wie einen ATECC508 benutzen, aber der 
Aufwand allein für das Konzept ist nicht unbeträchtlich, und selbst für 
die Tests kannst du einige dieser Teile als Verlust einplanen, denn 
viele der dort implementierten Funktionen sind "Einbahnstraßen": erst, 
nachdem du einen Teil des Chips beschrieben und versiegelt hast, kann 
der nächste Teil drauf zugreifen. Wenn sich dann rausstellt, dass du was 
falsch gemacht hast, kann das Ding in die Tonne, und es geht von vorn 
los.

Okay danke Dir.

Also ist beim AVR mit unverschlüsseltem EEPROM und gesetzten Lockbits 
bereits das Maximum an Sicherheit erreicht?

Oder ist eine Obfuscation der Daten im EEPROM trotzdem sinnvoll? Im 
Internet macht man sich ja gelegentlich darüber lustig, wenn Daten, die 
aus irgendwelchen Gründen nicht unknackbar verschlüsselt übertragen 
werden können, im Klartext übertragen werden. Wahrscheinlich würde man 
sich über seine sinnlos Verschlüsselung genau so lustig machen, ich weiß 
nicht was besser ist oder was man selbst machen sollte wenn man so ein 
Problem hat.

Ich überlege außerdem auch noch, die Kommunikation mit dem Terminal zu 
verschlüsseln, falls da jemand einen Keylogger oder ähnliches dranpopeln 
möchte. Aber um das sicher zu bekommen müsste man den 
Schlüsselaustausch/Synchronisierung auch so abwickeln, daß nicht der 
Hauptschlüssel übertragen wird, sondern ein Teil im Flash der beiden 
Controller liegenbleibt, wäre auch nicht sicherer zu bekommen als das 
Programm im Flash ist.

Aber das baue ich evtl. noch, einfach weil's cool ist. ;)

Welche hoch geheimen Daten willst Du denn auf dem AVR speichern?
Die Zugangsdaten Deines schweizer Nummernkontos?

In der Regel reicht es völlig, daß niemand weiß, was die Variablen im 
EEPROM bedeuten, denn dazu bräuchte er den Quelltext Deines Programms.
Man speichert ja nur irgendwelche Settings im EEPROM, die dann das 
Hauptprogramm konfigurieren. Außerhalb des Programms sind sie völlig 
nutzlos. Was soll z.B. jemand mit den PID-Parametern Deiner 
Heizungsregelung anfangen.

Ben B. schrieb:
> Also ist beim AVR mit unverschlüsseltem EEPROM und gesetzten Lockbits
> bereits das Maximum an Sicherheit erreicht?
>
> Oder ist eine Obfuscation der Daten im EEPROM trotzdem sinnvoll?

Hast in deinem EEPROM die Abschusscodes für deine Atomraketen oder was 
genau soll hier eigentlich vor wem gesichert werden?

georg schrieb:
> Falls deine Alarmsau in Wirklichkeit eine
> hochgeheime Entwicklung einer Massenvernichtungswaffe ist nehme ich
> natürlich alles zurück.

In dem Fall reicht ein günstiger großer Schraubenschlüssel und 15 
Minuten Zeit und er singt das Passwort wie ein Kanarienvogel. (siehe 
XKCD).

> Was Du noch machen kannst ist, den Schlüssel auf einem
> geeigneten Weg extern einzuspeisen.
Geht nicht. Ohne die intern hinterlegten PINs der Benutzer (die es sich 
lohnen würde zu schützen) kann man mit dem Ding rein gar nichts 
anfangen.

>> kleinen Hobbyprojekt
> ?
Bis jetzt ist es nur ein Hobbyprojekt. Ich weiß auch nicht wie ich wen 
finden soll, der es als Projekt kauft und vermarktet. Und ob ich es 
selbst in Deutschland vermarkten will... ich glaube da kann ich mich 
dank der ganzen Bestimmungen auch gleich selbst einknasten.

> Und weil es der Definition eines Hobbies entspricht,
> maximalen Aufwand bei minimalen Nutzen zu erreichen.
Das hat damit nichts zu tun. Wenn ich mir schon Gedanken über eine 
Alarmanlage mache, muß ich auch darüber nachdenken, durch welche Wege 
und Mittel ein potentieller Angreifer den Schutz möglicherweise 
überwinden kann... und wie ich das verhindere.

Die offene Kommunikation mit dem Terminal via USART ist jetzt die letzte 
echte Schwachstelle die ich kenne. Da könnte man die Eingaben mitlesen 
oder man könnte auch mit einem PC drangehen und automatisiert Schlüssel 
durchprobieren. Wenn man zumindest den Kanal vom Terminal zur 
eigentlichen Alarmanlage verschlüsselt, war's das fürs mitlesen oder 
Daten einspeisen via PC. Das was vom Kontrollmodul zum Terminal gesendet 
wird ist uninteressant, entweder kommt das sowieso auf dem Display 
wieder raus oder es sind einfache Steuerkommandos wie LED-Farbe usw. Ein 
Angriff darauf ist zum Brechen des Schutzes sinnlos.

> In der Regel reicht es völlig, daß niemand weiß, was die
> Variablen im EEPROM bedeuten, denn dazu bräuchte er den
> Quelltext Deines Programms.
Genau da muß ich widersprechen, die Tabelle mit den User-PINs wäre 
problemlos lesbar wenn man sie im Klartext vorliegen hat.

> Wer da physischen Zugriff auf dem µC hat, der braucht dein
> Programm einfach nicht mehr. Der hat jetzt viel  Zeit, da
> er ja das Hinderniss (Tür, Fenster, ... Versteck der AlarmSau)
> bereits überwunden hat.
Die AlarmSau ist eine frei konfigurierbare GSM-Alarmanlage mit bis zu 50 
Benutzern, 6 Alarmschleifen, 2 Alarmausgängen und einem via SMS 
steuerbaren Fernschalter (unabhängig von den Alarmen). Das Hauptmodul 
wird über USART an ein Terminal angebunden, so daß man das Hauptmodul 
sehr gut schützen kann und der Zugang zum Terminal kein 
Sicherheitsrisiko (Ausnahme Erraten eines brauchbaren Schlüssels) 
darstellt.

Einen physikalischen Einbruch verhindern kann das Ding natürlich 
nicht. Mein Ziel war zumindest, daß ein potentieller Angreifer nicht 
unbemerkt an dem Ding vorbeikommt. Beim Versuch sollen ihm entweder die 
Ohren dröhnen oder still eine Alarm-SMS gesendet werden (oder beides). 
Und selbst wenn jemand das Terminal zerstören würde, bliebe das 
Hauptmodul scharf und funktionsfähig. Daran anschließend die 
Aufgabenstellung, daß ein Angreifer möglichst schwer an eine gültige PIN 
kommt, selbst wenn er Zugang zum Terminal oder zur Kommunikation auf der 
USART-Verbindung hat.

Dazu habe ich mir natürlich so ein paar nette Gecks einfallen lassen... 
Wenn man in geschärftem Zustand 3mal einen falschen Code eingibt, hat 
man danach 5 Minuten Zeit zum Warten, bis man wieder Codes eingeben 
kann. Macht man sich den Spaß dann nochmal, wird zusätzlich zu den 5 
Minuten warten eine SMS verschickt, daß irgendein Doof gerade Codes 
durchprobiert.

Hobby-Projekt hin oder her. Wenn ich sowas mache, dann mache ich keine 
halben Sachen! >:-)=)

Bei dem kompletten "Sicherung von Mikrocontrollern"-Thema muss man sich 
immer genau überlegen was man eigentlich schützen möchte. Ansonsten 
gibt es da einen Haufen komplizierte Maßnahmen, die im Endeffekt nichts 
bewirken, weil es kein Szenario gibt in dem sie eine Rolle spielen. 
Denkbare Szenarien sind denke ich:

 - "Keiner darf den Code meiner Glühbirne haben" -- dafür reicht 
vermutlich das Lockbit setzen. Aber bleiben wir mal realistisch: den 
will sowieso keiner. Wen sollte das interessieren und warum, bzw. was 
soll die Person damit anfangen, wenn sie ihn bekommt?

 - "Der Code auf dem Controller darf nicht verändert werden, weil das 
ein Angriffszenario darstellt" -- das ist denke ich vor allem, aber 
nicht ausschließlich, für Geräte mit Remote-Update-Funktion interessant. 
Dafür ist es vermutlich sinnvoll, irgendwas Secure Boot-ähnliches zu 
nehmen, weil man zwingend Hardwareunterstützung für das sichere 
Speichern der Schlüssel braucht.

 - "Auf dem Controller sind sensible Nutzerdaten gespeichert, die man 
wenn man die Hardware in der Hand hat nicht auslesen können soll" -- das 
ist vermutlich der schwierigste Fall. Ich denke, hier ist die einzige 
Maßnahme die hilft ein Controller mit Encrypted Boot, d.h. der 
Controller selbst entschlüsselt das Firmware-Image mit einem in Hardware 
sicher gespeicherten (und von Software nicht auslesbaren) Key. Dann 
kannst du im Firmware-Image einen Schlüssel für das Sichern der 
Nutzerdaten haben.

Ben B. schrieb:
> man könnte auch mit einem PC drangehen und automatisiert Schlüssel
> durchprobieren.

Dagegen gibt es eine recht einfache Methode, jede fehlerhafte Eingabe 
verdoppelt die Sperrzeit für eine erneute Eingabe (10s,20s,40s usw.).

Sven B. schrieb:
> - "Keiner darf den Code meiner Glühbirne haben" -- dafür reicht
> vermutlich das Lockbit setzen. Aber bleiben wir mal realistisch: den
> will sowieso keiner. Wen sollte das interessieren und warum, bzw. was
> soll die Person damit anfangen, wenn sie ihn bekommt?

Tja, mal nachdenken, warum könnte wohl jemand dein WLAN-Passwort haben 
wollen? Schon mal darüber nachgedacht, dass "du" auch ein 
Unernehmer/Unternehmen sein könntest, in dessen Netzwerk einbrechen sich 
lohnen könnte, um Firmengeheimnisse abzugreifen? Oder dass "du" ein 
investigativer Journalist sein könntest, dessen geheime Quellen man 
gerne kennen würde? Da ist es natürlich praktisch, wenn man über eine 
"smarte" Glühbirne ans WLAN-Passwort kommt. Und ist man erstmal im 
Heimnetz, braucht es nur wieder mal eine ungefixte 
Windows-Schwachstelle, um auf die einzelnen Rechner zu kommen. Oder im 
besten Fall vielleicht nicht mal das.

Ben B. schrieb:
> Genau da muß ich widersprechen, die Tabelle mit den User-PINs wäre
> problemlos lesbar wenn man sie im Klartext vorliegen hat.

Nur muß dazu ja der Angreifer schon eingedrungen sein, den Standort der 
Alarmanlage gefunden haben, diese außer Betrieb gesetzt haben, sie 
geöffnet haben und ein Programmiergerät angeschlossen haben.
Das direkte Auslesen des EEPROM sollte also für eine Alarmanlage keine 
Gefahr darstellen.
Ein Angreifer muß also erstmal die zugänglichen Kommunikationswege 
überwinden.

Ben B. schrieb:
> Das hat damit nichts zu tun. Wenn ich mir schon Gedanken über eine
> Alarmanlage mache, muß ich auch darüber nachdenken, durch welche Wege
> und Mittel ein potentieller Angreifer den Schutz möglicherweise
> überwinden kann... und wie ich das verhindere.

Ganz ehrlich, du erwartest wirklich, daß sich da jemand Zutritt zu dem 
Gerät verschafft, um dann ein irgendwie geartetes elektronisches Gerät 
an die Usart anzuklemmen, um da Codes auszulesen und die Sau 
stillzulegen?

Du schaust zu viele schlechte Filme.

Ben B. schrieb:
> Hobby-Projekt hin oder her. Wenn ich sowas mache, dann mache ich keine
> halben Sachen! >:-)=)

Das sei Dir unbenommen. Als Denksportübung macht das alles sicherlich 
Spaß. Irgend einen realen Sinn hat alles aber nicht. Maximaler Aufwand 
für minimalen Effekt.

Oliver

Peter D. schrieb:
> Ben B. schrieb:
>> Genau da muß ich widersprechen, die Tabelle mit den User-PINs wäre
>> problemlos lesbar wenn man sie im Klartext vorliegen hat.
>
> Nur muß dazu ja der Angreifer schon eingedrungen sein, den Standort der
> Alarmanlage gefunden haben, diese außer Betrieb gesetzt haben, sie
> geöffnet haben und ein Programmiergerät angeschlossen haben.
> Das direkte Auslesen des EEPROM sollte also für eine Alarmanlage keine
> Gefahr darstellen.
> Ein Angreifer muß also erstmal die zugänglichen Kommunikationswege
> überwinden.

 Die alte Regel gilt immer noch:

 Je mehr Mühe sich jemand gibt, irgendwelche Programme oder Daten
 zu schützen, desto weniger sind es die Programme / Daten
 überhaupt wert, geschützt zu werden.

1

Wer EEPROM auslesen kann, kann auch Flash auslesen.

2

Wer sich für sooo klug hält, trennt erstmal die Module und verbindet

3

diese wireless, anstatt alles in einem Gehäuse zu halten.

4

Bei dir reicht es, die Karte aus GSM-Modul rauszunehmen, danach kann

5

man in aller Ruhe die restlichen Kabeln trennen und schon ist deine

6

geniale Alarmanlage geknackt.

7

Deine Alarmausgänge gehen über Relais, da weiss der Einbrecher sofort,

8

wo die Kabel zu trennen sind.

9

Ein Tamponschutz für Gehäuse ist auch viel nützlicher als Schutz

10

für Alarmschleifen.

11

Normalerweise komunizieren die Module wireless miteinander, z.B.

12

alle 500ms werden Nachrichten ausgetauscht, wenn die Nachricht nicht

13

ankommt oder bestätigt wird, löst der GSM-Modul Alarm aus.

14

Wo sich der GSM-Modul (oder mehrere) befindet, weiss der Einbrecher

15

aber nicht.

16

17

Natürlich ist es dein Projekt, du kannst es machen wie es dir

18

beliebt, aber in jedem zweitem Satz "meine AlarmSau" zu erwähnen

19

und darüber nachzudenken, dies auch noch irgendwo zu vermarkten,

20

zeugt nur von massloser selbstüberschätzung.

> Bei dir reicht es, die Karte aus GSM-Modul rauszunehmen,
> danach kann man in aller Ruhe die restlichen Kabeln trennen
> und schon ist deine geniale Alarmanlage geknackt.
Zugegeben, wenn Du es denn schaffst, das Hauptmodul mit der SIM-Karte zu 
finden, da schneller Zugriff drauf bekommst als die SMS raus ist, die 
Deinen Einbruch meldet und die Sirene losgeht. Dafür bleiben Dir nach 
dem Auslösen einer Alarmschleife maximal zwei Sekunden wenn die Schleife 
nicht verzögert ist. Das Terminal bekommst Du in der Zeit vielleicht 
kaputt, aber das nutzt nichts wenn das steuernde Teil funktionsfähig 
bleibt. Und nein, das Hauptmodul wird nicht direkt unter oder neben 
dem Terminal liegen, sonst hätte ich mir den Spaß mit dem Terminal auch 
komplett sparen können.

GSM macht sowieso nur Sinn wenn der Einbrecher nicht weiß, daß GSM da 
ist. Ansonsten reicht ein Handykiller, um den Versand von SMS zu 
blockieren. Da kann ich auch nicht viel gegen machen. Aber dann gibts 
wenigstens ordentlich was auf die Ohren.

Marc V. schrieb:
> Ein Tamponschutz für Gehäuse ist auch viel nützlicher als Schutz
> für Alarmschleifen.

Da hat wohl die Autokorrektur zugeschlagen.

Nennt sich Tamper Protection.

vn n. schrieb:
> Sven B. schrieb:
>> - "Keiner darf den Code meiner Glühbirne haben" -- dafür reicht
>> vermutlich das Lockbit setzen. Aber bleiben wir mal realistisch: den
>> will sowieso keiner. Wen sollte das interessieren und warum, bzw. was
>> soll die Person damit anfangen, wenn sie ihn bekommt?
>
> Tja, mal nachdenken, warum könnte wohl jemand dein WLAN-Passwort haben
> wollen?

Hast du mal den Rest meines Beitrags gelesen? Ich habe die Fälle 
differenziert "der Code soll geschützt werden" und "sensible Nutzerdaten 
sollen geschützt werden". Du hast mit Annahmen des letzteren Szenarios 
auf meinen Vorschlag zum ersteren geantwortet.

>> Aber dann gibts wenigstens ordentlich was auf die Ohren.
> Bauschaum.
Bauschaum auf die Ohren find ich gut. ;)
Nee, dafür müsste man drankommen, auch schlecht wenn's mehrere Hupen 
gibt.

> Aber elektrische verbunden. Dann lege ich ein paar kV auf
> die Terminalleitung und dein Hauptmodul wird gegrillt.
Welcher Einbrecher hat ein paar kV dabei? Außerdem grillst Du damit nur 
die Schutzschaltung für diese Kabel, danach funktioniert das Terminal 
nicht mehr, aber der eigentliche Controller wird das überstehen.

> Nennt sich Tamper Protection.
Hat das Ding in Form einer Photodiode und ein Mikrotaster am Deckel bzw. 
hinten zur Wand hin ist auch nicht so das große Problem.

Ben B. schrieb:
> Wenn ich die Daten verschlüssele, dann muß ich im Flash
> auch den Code für die Entschlüsselung und das Kennwort hinterlegen

Schau dir die ganzen "Crypto-Chips" von Atmel an - die sind doch gerade 
dafür gedacht Passwörter zu speichern etc.

Hier die Übersicht: 
http://ww1.microchip.com/downloads/en/DeviceDoc/doc8705.pdf

Dazu gibt es auch App Notes und ein Xplained Kit.

Ich denke ich lasse den EEPROM unverschlüsselt und begnüge mich mit dem 
Schutz durch die Lockbits.

> Schau dir die ganzen "Crypto-Chips" von Atmel an - die sind doch gerade
> dafür gedacht Passwörter zu speichern etc.

Das kann grundsätzlich alles nichts helfen, wenn die Komponente, die die 
Software-Anwendung ausführt, die das Passwort schlussendlich benötigt, 
nicht von einem Controller gestartet wird, der einen (außer vom 
Boot-ROM) nicht auslesbaren Schlüsselspeicher hat.

Was hindert mich als Angreifer sonst daran, mich gegenüber dem externen 
Kryptochip als die Software auszugeben?

Ich finde es eigentlich gut, einige technische Details "auszuplaudern". 
Nur so kann mir jemand Tips geben wenn ich Fehlerquellen oder mögliche 
Angriffszenarien übersehen habe. Die Anlage sollte selbst dann eine hohe 
Zuverlässigkeit erreichen, wenn der Angreifer solche Details kennt.

Anton M. schrieb:
> Sehr gut.
> Vor allem aber solltest Du hier nicht weiter öffentlich technische
> Details ausplaudern, das hilft am meisten.

Erkläre uns dann bitte warum gängige Verschlüsselungsmethoden öffentlich 
dokumentiert sind und trotzdem sicher sein können.

Erzähle bitte nicht so einen Unsinn, nur weil du nicht mit Wissen 
belastet bist.

Fitzebutze schrieb:
> Dir ist ja bewusst, dass es Tools gibt, die die Lockbits nicht
> interessieren?

Allerdings ziemlich aufwändige, nicht zerstörungsfreie.

Interessanter ist da für die Kryptoanalytiker schon sowas, wie die 
Stromaufnahme in Abhängigkeit vom Schlüsselmaterial zu analysieren und 
dergleichen.

Das mit Sicherheit durch Geheimhaltung hat in der Vergangenheit so oft 
nicht funktioniert, daß ich von dem Prinzip nicht viel halte. Ich sage 
nur DVD/CSS, da haben sich einige Leute bestimmt den Kopf deutlich mehr 
drüber zerbrochen als ich mit meinem kleinen AVR und trotzdem war's 
irgendwie nichts.

Wenn jemand zum Auslesen des EEPROM oder Flash den Controller öffnen muß 
um die Lockbits zu löschen oder was auch immer, dann ist mir das "teuer 
genug" - so viel Interesse hat bestimmt niemand an ein paar PIN-Codes 
und der Verlust des Controllers würde auch sehr schnell auffallen, weil 
die Anlage ohne den nicht mehr funktioniert.

Na so weit kommts noch, meine AlarmSau klauen!! Den Typen, der daran
auch nur denkt, dem trete ich persönlich so tief in den Arsch,
daß Chuck Norris vor Neid erblasst!

Peter D. schrieb:
> Da hat wohl die Autokorrektur zugeschlagen.
> Nennt sich Tamper Protection.
 LOL, habe es gar nicht bemerkt.
 Ich weiss es, aber die AK offensichtlich nicht. Manchmal glaube ich
 selber nicht, was und wie da alles "korrigiert" wird.

Im Grunde reicht es mir, wenn ich das Maximum an Sicherheit erreiche, 
was die Hausmittel eines ATMega1284 bieten. Wenn das die Lockbits schon 
so weit sicherstellen, daß EEPROM und Flash gleich schwer auszulesen 
sind, dann reicht mir das. Wenn ich es schaffe, beides auszulesen und es 
keine externen Schlüssel gibt, kann ich alles was verschlüsselt ist 
sowieso mit relativ wenig Aufwand entschlüsseln. Die Frage war mehr ob 
eine Verschleierung des EEPROM-Inhalts trotz der relativ einfachen 
Überwindbarkeit sinnvoll ist oder nicht.

Per JTAG auslesen. Ich muß mal aufs Datenblatt schauen, glaube die 
JTAG-Pins sind nicht belegt... vielleicht kann man eine der Schutzdioden 
dieser Pins zerstören, dann war's das für JTAG. ;)

Strom abstellen... Also erstens gibts einen Netzausfall-Alarm, einfacher 
kann man nicht auffliegen. Zweitens läuft das Ding in scharfgeschaltetem 
Zustand an einem alten 15Ah-Akku weit über eine Woche (weiß nicht wie 
lange, hab noch nicht ausprobiert wie lange der reicht) und bei 11,3 
oder 11,5V gibts nochmal eine Warnung, daß der Akku langsam schwach 
wird. Das wird also nichts.

Klar, wenn man die Zentrale mechanisch zerstört, dann war's das. Also 
die AlarmSau ist zugegebenermaßen vielleicht nicht ganz 
atombombensicher. Allerdings sollte sich die Zentrale immer weit im 
geschützten Bereich befinden und man sollte nicht drankommen, ohne 
vorher den Alarm auszulösen - vor allem nicht wenn man es leise und 
zerstörungsfrei versucht.

Mir gehts auch nicht um Einbrecher, denen alles egal ist, die in drei 
Minuten mehr Schaden machen als sie klauen und die vor ausgelöstem Alarm 
keinen Respekt haben weil sie nach drei Minuten sowieso wieder weg sind 
bevor irendwer da erscheinen kann und sie aufmischt. Gegen sowas kann 
man technisch nicht viel machen solange man selbst oder die Polizei 
nicht gerade 100 Meter weiter danebensteht. Also im erlaubten Rahmen 
kann man nicht viel machen. Ein paar SM-70 in der Werkstatt würden das 
Problem lösen, sind aber völkerrechtlich schwer vertretbar.

Ben B. schrieb:
> Im Grunde reicht es mir, wenn ich das Maximum an Sicherheit erreiche,
> was die Hausmittel eines ATMega1284 bieten. Wenn das die Lockbits schon
> so weit sicherstellen, daß EEPROM und Flash gleich schwer auszulesen
> sind, dann reicht mir das.

Dann belass es dabei.

> Die Frage war mehr ob
> eine Verschleierung des EEPROM-Inhalts trotz der relativ einfachen
> Überwindbarkeit sinnvoll ist oder nicht.

Nicht sinnvoll.

Ist wie eine verschlossene Wohnungstür, bei der jeder weiß, dass der 
Schlüssel unter dem Abstreicher liegt.

JTAG könntest du noch per Fuse abschalten, das würde diese Stelle 
nochmal zusätzlich erschweren. Aber das betrifft ja am Ende nur noch das 
Szenario, dass jemand das ganze Gerät klaut nur um rauszufinden, was er 
denn beim nächsten Versuch anders machen müsste.

JTAG deaktiviere ich sowieso immer sofort bei einem neuen Controller, 
habe ich noch nie benutzt. Aber wenn es jemand schafft, die Lockbits zu 
überwinden, schafft er es mit der JTAG-Fuse wohl auch.

> Aber das betrifft ja am Ende nur noch das Szenario, dass jemand das
> ganze Gerät klaut nur um rauszufinden, was er denn beim nächsten
> Versuch anders machen müsste.
Das würde keinen Sinn machen, das nächste Gerät könnte andere 
Hardware-Schlüssel im Flash haben und die Codes sind sicher auch nicht 
mehr die gleichen.

Ich möchte nur den Fall absichern, daß jemand die Alarmanlage zu 
überwinden versucht, ohne daß man es merkt. Wenn die ganze Anlage fehlt, 
merkt man das sehr schnell. Wenn jemand die Anlage klaut ohne daß man es 
merkt, das wäre schlecht und soll verhindert werden.

@Michael
Kaufen kann jeder, das ist langweilig!