home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / etc / security / simplex.loc < prev    next >
Encoding:
Text File  |  2003-06-11  |  23.0 KB  |  368 lines
  1.         Simplex 5-button combination locks:
  2.           *Hobbit*'s in-depth evaluation
  3.  
  4. This deals with the Simplex or Unican 5-button all-mechanical combination
  5. locks.  They are usually used in a variety of secure but high-traffic
  6. applications, and come in a number of flavors:  dead bolt, slam latch, lock
  7. switches for alarms, buttons in a circle or a vertical line, etc.  The
  8. internal locking works are the same across all of these.  Herein will be
  9. described the mechanical workings and a method of defeating the lock that
  10. falls out by logical inference and observations from playing with it.
  11.  
  12.     The internals
  13.  
  14. Caveat: If this seems unclear at first, it is because the absolutely best way
  15. to understand the inner mysteries is to take a Simplex lock apart and study
  16. it.  It is highly recommended that the reader obtain and disassemble one of
  17. the units while studying this; otherwise the following may be confusing.  The
  18. locking mechanism box is swaged together at each end, but it is trivial to
  19. open up without destroying it.  To set a lock up for study, remove the back,
  20. leaving the front plate held on by its Jesus clip.  Put a spare thumb turn
  21. down over the shaft so you have something to grab.  Take care not to lose the
  22. button connecting pins; they drop out.
  23.  
  24. In the round configuration, the buttons talk via bent bars in the faceplate to
  25. the same vertical column as the straight ones.  Thus all buttons henceforth
  26. shall be referred to as if they were in a straight vertical row, numbered 1 to
  27. 5 reading downward.  The actual locking mechanism inside is a small metal box,
  28. about 3 inches high and .75 x .75 inch across the base.  It contains five
  29. tumblers, one corresponding to each button, a common shift bar, and a couple
  30. of cams to handle reset and unlocking.  The user dials the combination and
  31. turns the handle to the right to open the lock, or to the left to reset any
  32. dialed digits if he made a typo.  If the proper combination has not been
  33. dialed yet, the shaft will not turn to the right.  Setting a combination shall
  34. be described later.  Some of the linear-style locks are actually made by
  35. Unican, but have the Simplex box inside.  For these, a clockwise twist serves
  36. as both open and reset.  There is a detent plate and a screwy lever system; if
  37. the lock is not open yet, the lever cannot turn to the *box*'s right.  The
  38. detent slips, allows the levers to shift the other way, and the box arm is
  39. then turned to the left.  If the detent does not slip, it's open, and the
  40. plate locks to the latch shaft and pulls it back.
  41.  
  42. Each of the five tumblers has six possible positions.  Each button does
  43. nothing but push its corresponding tumbler from the 0 position to the 1
  44. position.  Therefore, each button can only be used once, since once the
  45. tumbler has moved, the button has no further effect.  The trick comes when
  46. *subsequent* buttons are pushed.  Each button press not only shoves its
  47. tumbler from 0 to 1, it also advances any "enabled" tumblers one more step.
  48. When a tumbler is enabled, its corresponding gear has engaged the common bar
  49. and pushed it around one position, so the next button press will do this
  50. again, thus taking previously enabled tumblers around one more notch.  This
  51. way, the further-in tumbler positions can be reached.  It can be seen that
  52. there are undialable combinations; for instance, only *one* tumbler can reach
  53. position 5 for a valid combination [Positions labeled 0 thru 5, totalling
  54. six].  If one sits down and figures out possible places for the tumblers to
  55. go, many combinations are eliminated right away, so the number of
  56. possibilities is *not* 6^5 as one might expect.  Two-at-once pushes are also
  57. valid, and are *not* the same as pushing the given two in some other order.
  58. Pushing two [or three or ...] at once simply enables two tumblers at once and
  59. shoves them to position 1 at the same time.  [This of course leaves less
  60. buttons unused to push them in farther!]  The tumblers themselves are small
  61. round chunks of metal, with gear teeth around the top half and a notch cut
  62. into the bottom edge.  When all these notches line up with the locking bar,
  63. the lock is open.  The tumblers are mounted on a vertical shaft so they can
  64. spin, with the locking bar fingers resting against the bottom of each one.
  65. The locking bar is prevented from rising if any notch is turned away from it.
  66. Juxtaposed to the tumblers is another shaft containing idler gears, which in
  67. turn talk to the common bar in the back.  The intermediate shaft slides up and
  68. down and makes combination changes possible.  Note: The buttons actually talk
  69. to the idler gears and not the tumblers themselves.  This is necessary since
  70. during a combo change, the tumblers cannot move because the locking bar teeth
  71. are sitting in the notches.
  72.  
  73.     Combination change, other random facts
  74.  
  75. Once you know the current combination, you might want to change it.
  76. Instructions for doing this undoubtedly come with the lock; but it's real
  77. easy.  There is a screw in the top with a hex hole; remove this from the lock
  78. body.  Dial the proper combination, but don't move the handle.  Press straight
  79. down through the hole with a small screwdriver, until you feel something go
  80. "thunk" downward.  The lock is now in change mode.   Reset the tumblers
  81. [leftward twist], enter your new combination, twist the handle as though
  82. opening the lock, and your change is now in effect.  Re-insert the screw.
  83. This does the following:  The thing you hit with the screwdriver pushes the
  84. tumblers down onto the locking bar [which is why the proper combination must
  85. be entered], and disengages them from their idler gears.  Button presses turn
  86. the *idler* *gears* around, and then the opening action shoves the tumblers
  87. back up to mesh with these gears in their new positions.  A subsequent reset
  88. mixes the tumblers up again to follow the new combination.  This description
  89. is admittedly somewhat inadequate; the right thing to do is take one of the
  90. locks apart and see for one's self what exactly happens inside.
  91.  
  92. The Unican model has a disk-locked screw on the rear side.  Removing this
  93. reveals a round piece with a flat side.  Twist this clockwise to enable change
  94. mode as in the above.  This lock, of course, would be a little more secure
  95. against random people changing the combination for fun since you ostensibly
  96. need a key to get at it.  Keep in mind that "reset" on these is done by
  97. turning the knob all the way *clockwise* instead.  There is a linkage that
  98. ensures that the shaft inside goes counterclockwise for the time that change
  99. mode is enabled.
  100.  
  101. It is amusing to hear local locksmiths call the Simplex internals a 
  102. "computer".  It would seem that none of them have taken one apart to
  103. see what is really inside; the box is painted black as far as they are
  104. concerned and non-openable.  Obtaining one is the unquestionably best way to
  105. learn what's in there.  Unfortunately they cost on the order of $120, a price
  106. which clearly takes advantage of the public's ignorance.  These locks are
  107. *not* pick-proof after all, and anyone who maintains that they are is
  108. defrauding the customer.  There are a variety of ways to increase the picking
  109. difficulty, to be discussed elsewhere.  Your best bet is to borrow one from
  110. somewhere for an evening and spend the time learning its innards.
  111.  
  112.     Determining an unknown combination
  113.  
  114. Contrary to what the marketing reps would have you believe, the locks can be
  115. opened fairly quickly without knowing the set combination and without damaging
  116. the lock.  Through a blend of a soft touch, a little hard logic, and an
  117. implicit understanding of how the locking mechanism works, they generally
  118. yield within five minutes or so.  [There are *always* exceptions...]
  119.  
  120. This method requires that one does not think in terms of a sequence of button
  121. presses.  One must think in terms of tumbler positions, and simply use the
  122. buttons to place tumblers where desired.  For practical description purposes,
  123. it will be assumed that the buttons connect right to the tumblers, rather than
  124. the idler gears that they really do.  The idler gears are a necessary part
  125. only during combination changes.  Unless you are doing a change, considering
  126. it this way is pretty close to the facts.  Remember that a 0 position means
  127. the button was never pushed, and 5 is enabled and shifted as far as possible.
  128.  
  129. Turning the thumb handle to the right [clockwise] raises the locking bar
  130. against the tumblers.  Since the lock is never machined perfectly, one or more
  131. tumblers will have more pressure on it than other ones, and this shows up as
  132. friction against it when it is turned via the button.  This friction is felt
  133. in the short distance between fully-extended and the detent on the button [the
  134. first 2 or 3 mm of travel].  Some will travel easily to the detent, and others
  135. will resist efforts to push them in.  Suppose you are twisting the handle, and
  136. tumbler 1 has lots of pressure on it [you can feel this when you try to push
  137. button 1 in].  When you back off the tension on the handle a little bit, the
  138. button can be pushed in against the resistance.  The fact that the button has
  139. resistance at position 0 tells you that tumbler 1's proper position is *not*
  140. 0, or there would be no pressure if the notch was there!  Upon pushing button
  141. 1 in, you find that no pressure has appeared at any other button.  This
  142. eliminates position 1 for tumbler 1, also.  Now, how do you get tumbler 1 to
  143. different positions so you can test for pressure against other ones?  Push
  144. subsequent buttons.  Push any other button, and tumbler 1 advances to position
  145. 2.  Ignore what the other tumblers are doing for the moment.  Now, perhaps
  146. another button has some resistance now.  This means that tumbler 1 is either
  147. at the right position, or getting close.  Basically you are using other
  148. tumblers to find out things about the one in question.  [Keep in mind that the
  149. first one with friction won't *always* be tumbler 1!  Any tumbler[s] could
  150. have the first pressure on them.]  Continuing, push another "don't care"
  151. button.  A "don't care" button is one that is not the one you're trying to
  152. evaluate, and not the one that recently showed some friction.  What you want
  153. to do is advance tumbler 1 again without disturbing anything else.  Did the
  154. pressure against your test tumbler get stronger, or disappear?  If it got
  155. stronger, that points to an even higher probability that tumbler 1 is supposed
  156. to be at 3, rather than 2.  If the pressure vanished or became less, 1 has
  157. gone too far, and you were safer with it at position 2.  Let's assume that the
  158. pressure against your test tumbler increased slightly when tumbler 1 was at 2,
  159. increased even more when tumbler 1 was at 3 and vanished when you pushed it
  160. onward to 4.  Reset the lock.  You now know the proper position of tumbler 1
  161. [that is, whatever tumbler first had pressure on it].  You've already
  162. drastically reduced the number of possible combinations, but you aren't
  163. finished yet.
  164.  
  165. You can now eliminate positions for the next one or two tumblers the same way
  166.  -- but to set things up so you can feel the pressure against these, you must
  167. ensure that your newly-known tumbler [1 in this case] is in its proper
  168. position.  It is useful to make a little chart of the tumbler positions, and
  169. indicate the probabilities of correct positions.
  170.  
  171.            Positions
  172.         0  1  2  3  4  5
  173.         ----------------
  174.        1 :    L  L  +  T  L  |    <-- Indicates that tumbler 1 is not
  175.                         0, not 1, maybe 2, more likely 3.
  176. Tumbler    2 :  |  |  |  |  |  |
  177. number
  178.        3 :  |  |  |  |  |  |
  179.  
  180.        4 :  L  |  |  |  |  |    <-- Indicates that tumbler 4 is not 0.
  181.  
  182.        5 :  |  |  |  |  |  |
  183.  
  184. This chart is simply a bunch of little vertical lines that you have drawn in a
  185. 5x6 matrix; the topmost row corresponds to button 1 and the lowest to 5.  Mark
  186. the probabilities as little hash marks at the appropriate height.  The leftmost
  187. bar indicates position 0, rightmost 5; a high mark on the left side indicates
  188. that that tumbler is 0, or is never used.  The relative heights of your tick
  189. marks indicate the likelihood of the notch on the respective tumbler being
  190. there.  If you don't know about a position, don't mark it yet.  This chart
  191. serves as a useful mnemonic while learning this trick; as you gain experience
  192. you probably won't need it anymore if you can remember tumbler positions.
  193.  
  194. A tumbler at the 0 position is already lined up before any buttons are pressed.
  195. This will feel like a lot of loose play with a little bit of pressure at the
  196. end of the travel, just before the enable detent.  Be aware of this; often
  197. enough the first button with pressure can be a 0, and if you aren't watching
  198. for 0 positions you can easily assume it's a don't care, push it, and screw
  199. your chances of feeling others.  Make sure your "don't care" test buttons
  200. aren't supposed to be at 0 either.  It's a good idea to run through and try
  201. to find all the zeros first thing.
  202.  
  203. Let us continue from the above.  You have found that tumbler 1 is most likely
  204. to bet at position 3, with a slim chance of position 2.  This is marked in the
  205. above chart.  The reason this can happen is that the tops of the locking bar
  206. teeth are slightly rounded.  When the tumbler is one away from its opening
  207. position, the locking bar can actually rise higher, since the notch is halfway
  208. over it already.  So don't assume that the first increase in pressure on other
  209. buttons is the right position for the one you're finding out about.  Let's
  210. assume that the next pressure showed up on button 4.  You can feel this when
  211. tumbler 1 is at position 3; to get tumbler 1 out there, let's say you used the
  212. sequence 1,2,3.  2 and 3 were your "don't care" buttons used only to push 1
  213. around.  Therefore now, tumbler 1 is at position 3, 2 is at 2, and 3 is at 1.
  214. 5 and 4 are at 0, and can therefore be felt for pressure.
  215.  
  216. The next step is to find the proper position for the next button with pressure
  217. against its tumbler.  Many times you'll get more than one that exhibit
  218. pressure at the same time.  Figure out which button has more pressure on it
  219. now with your first tumbler in the right position.  In this example, only 4
  220. applies.   You now want to advance tumbler 4 to different places, *while*
  221. keeping 1 at its proper place.  1 must always advance to 3 to free the locking
  222. bar enough to press on other tumblers.  To place tumbler 1 at position 3 and 4
  223. at position 1, you would do something like 1,2,4 and check 3 and 5.  To place
  224. tumbler 1 at position 3 and 4 at 2, you would do something like 1,4,2.  To
  225. place 1 at 3 and 4 at 3, you have to press 1 and 4 at the same time, and then
  226. advance that mess by two positions.  If you use 2 and 3 for this, the notation
  227. is (14),2,3, which means 1-with-4, then 2, then 3.  You can also do 4,1,2,5 to
  228. put 4 at 4  and check 3.  If all these tests fail, that is, no pressure
  229. appears at any other button, you can start assuming that 4 is supposed to be
  230. way out there at position 5.  For the example, let's say you did 1,4,2 and
  231. pressure showed up on button 3.  To double-check this, you did (14),2,5, and
  232. the pressure on 3 went away.  So tumbler 4 must have gone too far that time.
  233. Place a fairly high tick mark on the chart at tumbler 4, position 2 to
  234. indicate the probability.
  235.  
  236. Note: A better way to do that last test, to avoid ambiguity, is to do 1,(42),5
  237. and check 3, then do (14),2,5 and check 3.  This ensures that the only change
  238. you have made is to move tumbler 4 from 2 to 3 an avoids the possibility of
  239. movement of tumbler 2 giving bogus results.  Through the entire process, you
  240. want to try to change one thing at a time at every point.  Sometimes one of
  241. this sort of possible test setup won't tell you anything and you have to try
  242. another one [in this case, perhaps 1,(45),2 and then (14),5,2 while checking 3.
  243. This has simply swapped the positions of 2 and 5 during your testing].
  244.  
  245. You now know two tumbler positions, with a high degree of confidence, and have
  246. further reduced the possible combinations.  From here, you could mix tumblers
  247. 2,3 and 5 into the sequence with various permutations, as long as you place 1
  248. and 4 correctly every time.  This would still take some time and brain work
  249. ... let's try to find out something about some other buttons.  Place 1 and 4
  250. where they're supposed to go ... the sequence 1,4,2 will do it, and see what's
  251. up with the other buttons.  1,4,3 will leave 2 and 5 available.  You find
  252. eventually that 2 and 3 have the next bit of pressure distributed between them
  253. [and are nonzero], and 5 feels like a 0, as described above.  To confirm this,
  254. advance 5 along with some other button and check 3.  Bingo: There is no
  255. pressure on 2 when 5 is enabled [and you have not changed anything else
  256. besides 5's position], so you can firmly decide that 5 is 0 after all.  So
  257. leave it there.  [You did this by advancing 1 to 3 and 4 to 2, as usual, so
  258. you can feel 2's pressure in the first place.]
  259.  
  260. By now you should know the proper positions of three of the tumblers, and have
  261. eliminated any other zeros by feeling their initial pressure.  Now, since 2
  262. and 3 have the next pressure on them, try and find out more about them.  You
  263. know they aren't zero; suppose we try 1?  To do this you must get one of them
  264. to 1, 1 to 3 as usual, 4 to 2, and leave 5 alone.  How?  Use hitherto unknown
  265. buttons as dummies to position the tumblers right.  For instance, the sequence
  266. 1,4,3 will do what you want here; you then check pressure on 2.  Or 1,4,2 and
  267. check 3.  Here you may notice that the pressure on the leftover is a *little*
  268. stronger than before, but not enough to make any sure judgement.  Well, now
  269. you want to advance an unknown to position 2 - but you suddenly notice that if
  270. you do [by doing something like 1,(42),3] there are no free buttons left to
  271. test for pressure!  'Tis time to try possibilities.  Your only unknowns are 2
  272. and 3 now.  You must now advance 1 and 4 to their proper positions, leaving 5
  273. alone, while sprinkling the unknowns around in the sequence in different
  274. permutations.  Use your chart to remember where the known tumblers must go.
  275. Sometimes you get two possibilities for a tumbler; you must work this into the
  276. permutations also.  In this particular example, you know that either  2 or 3
  277. [or both!] must be the last button[s] pressed, since *something* has to get
  278. pressed after 4 to advance 4 to position 2.  An obvious thing to try is
  279. putting both the unknowns at position 1 by doing 1,4,(23).  Try the handle to
  280. see if it's open.  No?  Okay, now leave one of the unknowns down at 1 and mix
  281. the other one around.  For instance, for 2 at 1 and 3 at 2, you do 1,(34),2
  282. -- nope.  Advance 3 one more; (13),4,2 *click* -- huh?? Oh, hey, it's *open*!!
  283.  
  284. Well, when you are quite through dancing around the room, you should know
  285. that your further possibilities here ran as follows:
  286.  
  287.     3,1,4,2        ; to end the permutations with 2 at 1
  288.     1,(24),3    ; and permutations involving 3 at 1.
  289.     (12),4,3
  290.     2,1,4,3
  291.  
  292. One may see how things like 2,1,(34),x  are eliminated by the fact that  1
  293. must get to 3, and 5 must stay still.  Since only 4 buttons could be used, no
  294. tumbler can get to position 5 in this particular combination.  Note also that
  295. the farther *in* a tumbler has to go, the earlier its button was pressed.
  296.  
  297. If all this seems confusing at first, go over it carefully and try to
  298. visualize what is happening inside the box and how you can feel that through
  299. the buttons.  It is not very likely that you can set up your lock exactly as
  300. the  example, since they are all slightly different.  Substitute your first-
  301. pressure button for the 1 in this example.  You may even have one that
  302. exhibits pressure against two or more tumblers initially.  Just apply the
  303. differential-pressure idea the same way to find their most likely positions.
  304. The example is just that, to demonstrate how the method works.  To really
  305. understand it, you'll have to set your lock up with some kind of combination,
  306. and apply the method to opening it while watching the works.  Do this a few
  307. times until you understand what's going on in there, and then you'll be able
  308. to do it with the lock assembled, and then in your sleep, and then by just
  309. waving your hands and mumbling....
  310.  
  311. A 5-press combination makes life a little tougher, in that you lose
  312. versatility in your freedom of test positions, especially if your first-
  313. pressure tumbler is at position 5.  Here you can use the "almost" feature to
  314. your advantage, and advance the errant tumbler to one before its proper spot,
  315. and hope to see increased pressure on other tumblers.  When a tumbler is one
  316. away from right, the locking bar tab is hanging a large section of itself into
  317. the tumbler notch, and the tab's top is slightly rounded.  So it can rise a
  318. little higher than before.  If you twist the handle fairly hard, you can
  319. distort the locking bar slightly and make it rise higher [but don't twist it
  320. hard enough to break away the safety clutch in the shaft!] The chances of
  321. someone setting this sort of combination without prior knowledge about the
  322. *specific* lock are almost nonexistent.
  323.  
  324. As if that wasn't enough, the next thing to deal with is the so-called
  325. "high-security" combinations involving half-pushes of buttons.  The long
  326. initial travel of the tumbler permits this.  If you look at your open
  327. mechanism and slowly push in a button, you'll see that the tumbler actually
  328. travels *two* positions before landing in the detent, and further motion is
  329. over one position per press.  There is no inherently higher security in this
  330. kind of combination; it's just a trick used against the average person who
  331. wouldn't think of holding a button down while twisting the latch release.
  332. It's quite possible to defeat these also.  When you are testing for pressure
  333. against a tumbler set at "one-half", you'll feel a kind of "drop-off" in which
  334. there is pressure initially, and then it disappears just before the detent.
  335. Before testing further buttons, you'll have to "half-enable" the appropriate
  336. "one-half" tumblers so the locking bar can rise past them.  Set your lock up
  337. with a couple of combinations of this type and see how it works.  Note that
  338. you must hold down the "half" buttons just before the detent click while
  339. setting or opening.  This makes an effective 7 positions for each tumbler, but
  340. in a standard [no "halfs"] setup, it's effectively 6.  This is Simplex's
  341. "high-security" trick that they normally only tell their high-dollar military
  342. customers about.  After working the lock over for a while, it's intuitively
  343. obvious.
  344.  
  345. The Unican type has no direct pressure direction of twist; if you turn too
  346. far to the right you only reset the tumblers.  What you must do is hold the
  347. knob against the detent release just tight enough to press the locking bar
  348. against the tumblers inside the box but not hard enough to slip the detent.
  349. There is a fairly large torque margin to work with, so this is not difficult
  350. to do.  Unicans do not twist to the left at all, so ignore that direction and
  351. work clockwise only.
  352.  
  353.     Possible fixes
  354.  
  355. The obvious things improvements to make are to cut notches of some kind into
  356. the locking bar teeth and the tumblers, so that the pressure can't be as
  357. easily felt.  Another way might be to have a slip joint on the locking bar
  358. that would release before a certain amount of pressure was developed against
  359. it, and thus never let the tumblers have enough pressure against them to feel.
  360. The future may see an improved design from Simplex, but the likelihood does
  361. not seem high.  They did not seem interested in addressing the "problem".
  362.  
  363. [Method independently discovered 8410, revised and cleaned up 861020
  364. by *Hobbit*, for informational purposes only.  This information was also
  365. forwarded to the engineering staff at Simplex Security Systems.]
  366.  
  367. _H*
  368.