Optimierung von Shimano STePS Systemen mit den eMax - Softwarewerkzeugen (bisher: eMax 3.x Software für STEPS E8000 Motoren Erfahrungen und Austausch)

[PeterMayer]

Man sehe sich das GIF von Orbea mal genauer an.
Max torque 85 default bei 20-60
Anhang anzeigen 361113
@PeterMayer
Zum EP8-RS.
Ist schon bekannt, ob nur das Drehmoment begrenzt wurde oder wurde die maximale Spitzenleistung auch reduziert?

Danke für diese "lustige" Info - ich wollte zuvor nicht allzu weit abdriften und mir keine Feinde schaffen, aber genau diese Sache ist mir vor ein paar Tagen auch schon aufgefallen und es ist aus unserer Sicht nicht wirklich vertrauenswürdig wenn Orbea nicht in der Lage ist entsprechend konsistente Bilder in Ihren Internetauftritt einzufügen...

Im Windows basierten eTube Programm 4.0.x sieht die Sache für den EP8-RS in der realen Anwendung schon etwas konsistenter aus und die Werte sind alle fix auf 60Nm begrenzt:

Zur Frage: Nach unserem aktuellen Wissenstand ist beim EP8-RS nur das Drehmoment auf 60Nm gedrosselt, die Spitzenleistung bleibt weiterhin bei 500W. Aber natürlich alles wie immer ohne Gewähr...
...zu viel Drehmoment könnte ja im Extremfall ein Motorgehäuse an seine Grenzen treiben...

Wollte gerade vorschlagen einen "Orbea Rise" - Thread zu öffnen, sehe aber dass es schon mehrere davon gibt. Werde dort auf alle Fälle mal in den kommenden Tagen mitlesen.

 

[otsche62]

Wenn man ein Experiment wagt, und die namentlich identische Firmware des EP8 auf das EP8-RS spielt, könnte es sein, dass man dadurch die 60 NM Hürde umgehen kann? Also dass dadurch das EP8-RS zum EP8 wird?

War nur so ein Gedankenspiel eines Experimentierfreudigen - ob das überhaupt möglich ist, entzieht sich meiner Kenntnis. Vielleicht gibt es minimale Unterschiede in den jeweiligen Firmwares.

Gruß, Otsche

 

[PeterMayer]

Wenn man ein Experiment wagt, und die namentlich identische Firmware des EP8 auf das EP8-RS spielt, könnte es sein, dass man dadurch die 60 NM Hürde umgehen kann? Also dass dadurch das EP8-RS zum EP8 wird?

War nur so ein Gedankenspiel eines Experimentierfreudigen - ob das überhaupt möglich ist, entzieht sich meiner Kenntnis. Vielleicht gibt es minimale Unterschiede in den jeweiligen Firmwares.

Gruß, Otsche

Wir lieben "Experimentierfreude" und die Idee ist sehr gut, aber auf dem EP8-RS des Orbea Rise ist aktuell im Auslieferungszustand bereits die identische 4.1.1 Firmware des Standard EP8 installiert! Es gibt aus unserer Sicht also nur eine Firmware für den EP8 und EP8-RS.
Zusätzlich zur Firmware gibt es jedoch auch noch eine davon komplett unabhängige und getrennte elektronische Konfiguration des Motors in einem speziellen Speicherbereich welche der Firmware eben bspw. mitteilt mit wieviel max. Drehmoment der Motor arbeiten darf.
Dieser Speicher wird in der Regel nur einmal bei der Produktion des Motors im Shimano Werk beschrieben und wird auch durch ein Firmwareupdate nicht verändert, genauso wie bspw. die elektronische Seriennummer, welche durch ein Firmwareupdate auch nicht verändert wird. Das ist genau die Stelle welche wir aktuell suchen um herauszufinden ob dort "etwas zu bewegen" ist. Ausgang derzeit noch offen.

Kleine Zusatzinfo: Auch wenn es inzwischen schon sehr sicher ist dass die Firmware vom EP8 und EP8-RS absolut identisch ist (genauso wie wahrscheinlich auch das elektronische Innenleben), so kann es trotzdem durchaus sein dass die Dynamik (Ansprechverhalten, Leistungskurve, etc.) des EP8-RS sich in der Praxis vom Standard EP8 unterscheidet, denn durch die Kenntnis des Motortyps können natürlich in der Firmware beim Einschalten des Fahrrads 2 komplett unterschiedliche Algorithmen für EP8 und EP8-RS angesprungen und abgearbeitet werden...

 

[HageBen]

Neuer Thread ist ein gutes Stichwort.
Dieser heißt ja eMax für e8000.
Sollen hier überhaupt andere Steps Motoren (bspw e7000) mit behandelt werden oder nicht, oder nur nicht die neuen EP8 oder nur den RS nicht? Gibt es für die verschiedenen Motoren unterschiedliche eMax Versionen, damit eine Trennung sinnvoll ist oder wäre ein Sammel Thread für alle eMax begeisterten besser?

Ich habe nämlich bald einen EP8 und eine kompetente Anlaufstelle wäre toll.

 

[PeterMayer]

Gratulation zum baldigen EP8 und ansonsten "gute Frage"...
Ich würde den aktuellen Namen dieses Threads "...eMax für E8000..." einfach als historisch gegeben sehen und diesen aktuellen Thread trotzdem als
Sammelthread für alle eMax - Begeisterten und alle Shimano STePS Antriebseinheiten
sehen.
Mir ist klar dass ein Thread mit inzwischen beinahe 200 Seiten etwas unhandlich ist, aber wenn wir das ganze zukünftig "zerlegen" könnte es noch unübersichtlicher werden. Außerdem finde ich dass die Suchfunktion hier im Forum mit etwas Übung sehr gut funktioniert. Somit wäre ich eigentlich dafür dass wir diesen Thread einfach so weiterlaufen lassen wie bisher, auch wenn manchmal ein paar Themen etwas OT sind, aber das gehört ja auch dazu. Hauptsache der rote Faden wird immer wieder gefunden, und das ist ja auch bisher immer der Fall.
...ist aber nur meine Sichtweise und Alternativvorschläge sind willkommen.
Vielleicht könnte auch einfach der Name des aktuellen Threads umbenannt werden falls dies möglich ist und sinnvoll erscheint.
Vielleicht kann uns @Schnipp hierzu eine kurze Rückmeldung geben?
Ein Wunschname wäre aus meiner Sicht "Optimierung von Shimano STePS Systemen mit den eMax - Softwarewerkzeugen" oder so ähnlich.

 

[Schnipp]

Habe es angepasst, den Zusatz werde ich in ein paar Wochen entfernen.

 

[PeterMayer]

Habe es angepasst, den Zusatz werde ich in ein paar Wochen entfernen.

Vielen lieben Dank Schnipp - genial

 

[Fobold]

Hallo zusammen,
da wir ja schon im neuen Jahr angekommen sind, möchte ich fragen, ob sich in Sachen „eMaxMobileApp“ bezüglich Shimano FW 4.9 schon etwas getan hat???

 

[PeterMayer]

Hallo zusammen,
da wir ja schon im neuen Jahr angekommen sind, möchte ich fragen, ob sich in Sachen „eMaxMobileApp“ bezüglich Shimano FW 4.9 schon etwas getan hat???

Der aktuelle Stand ist immer noch derjenige dass sich die aktuelle Motorfirmware 4.9.0 problemlos über unser Windows basiertes miniMax - Programm und einem PCE1 bzw. PCE02 Interface über die USA - Modifikation und/oder Radumfangsmodifikation optimieren lässt (siehe dazu auch hier).
Eine Modifikation zur Erhöhung der max. Motorunterstützungsgeschwindigkeit über Bluetooth mit eMaxMobileApp ist bei Motorfirmware 4.9.0 nicht möglich.
Um auch über Bluetooth entsprechende Modifikationen durchführen zu können muss zuvor ein Downgrade (mindestens auf die Vorgängerversion 4.8.0, siehe hier und hier) durchgeführt werden, da Shimano in Motorfirmware 4.9.0 die entsprechenden Bluetooth - Funktionen komplett deaktiviert hat und wir diese Funktionen trotz intensiven Bemühungen nach unserem aktuellem Wissensstand nicht wieder aktivieren können.

 

[Rowerek]

Hallo zusammen,
da wir ja schon im neuen Jahr angekommen sind, möchte ich fragen, ob sich in Sachen „eMaxMobileApp“ bezüglich Shimano FW 4.9 schon etwas getan hat???

Ich vermute, dass Shimano bewusst die Möglichkeit der Konfiguration dieser Parameter via Bluetooth aus der Firmware entfernt hat, um Tuning über diesen Weg zu verhindern. Es würde mich nicht wundern, wenn es bald verschiedene Versionen der Window Software gibt, wo dann nur noch autorisiertes Personal von Shimano oder der Bike-Hersteller diese Möglichkeit haben. Mittels korrekt implementierter kryptografischer Signierung wäre das relativ leicht umsetzbar. Bisher war ihnen das halt zu mühsam.

 

[Rowerek]

Der nächste Schritt wäre wohl, einen Downgrade der Firmware zu verhindern. Das gibt es ja bei anderen Geräten auch oft, und ist dort auch sinnvoll, um zu verhinden, dass alte Hintertüren für Angriffe wieder aktiviert werden oder unautorisierte Firmware installiert wird.
Damit wären dann alle neu ausgelieferten Bikes nicht mehr zu tunen.

 

[PeterMayer]

Ich vermute, dass Shimano bewusst die Möglichkeit der Konfiguration dieser Parameter via Bluetooth aus der Firmware entfernt hat, um Tuning über diesen Weg zu verhindern.

So ist es definitiv!

Es würde mich nicht wundern, wenn es bald verschiedene Versionen der Window Software gibt, wo dann nur noch autorisiertes Personal von Shimano oder der Bike-Hersteller diese Möglichkeit haben.

Exakt, es gibt bereits eine spezielle OEM Version von Shimano´s Windows basiertem eTube Programm, welche nur einem ganz speziellen Personenkreis zugeteilt wird. Nur gut dass wir inzwischen sehr gute Kontakte haben

...Mittels korrekt implementierter kryptografischer Signierung wäre das relativ leicht umsetzbar. Bisher war ihnen das halt zu mühsam.

Das ist vollkommen korrekt. Wenn Shimano wirklich mit allen Mitteln ein Tuning verhindern möchte, dann wird es für uns extrem schwierig entsprechende Lösungen zu finden. Allerdings werden auch jetzt schon von Shimano etliche kryptographische Tricks angewendet, für die wir teilweise sehr lange gebraucht haben um sie zu knacken . Hacking und Reverse Engineering ist halt immer ein andauerndes Katz - und Maus - Spiel...

 

[Rowerek]

Allerdings werden auch jetzt schon von Shimano etliche kryptographische Tricks angewendet

Da vermute ich aber, dass bei der Implementierung ordentlich gepfuscht wurde

 

[Rowerek]

Hacking und Reverse Engineering ist halt immer ein andauerndes Katz - und Maus - Spiel...

... was sicher nicht nur mühsam ist, sondern auch Spaß macht
Habe ich selbst vor langer Zeit gemacht.

 

[Rowerek]

Exakt, es gibt bereits eine spezielle OEM Version von Shimano´s Windows basiertem eTube Programm, welche nur einem ganz speziellen Personenkreis zugeteilt wird. Nur gut dass wir inzwischen sehr gute Kontakte haben

Wenn jeder Service-Partner von Shimano einen eigenen signierten Schlüssel/Zertifikat bekommt, und dieser auch beim Programmieren der Parameter permanent geloggt wird, wäre es nicht so einfach, an einen Zugang zu kommen, weil hier ein Mißbrauch vermutlich das Ende dieses Unternehmens wäre.

 

[PeterMayer]

Da vermute ich aber, dass bei der Implementierung ordentlich gepfuscht wurde

Ich würde die Firmware von Shimano nicht als "gepfuscht" ansehen, aber ein Hacker lebt immer davon dass es vom eigentlichen Programmierer unbeabsichtigte Hintertürchen gibt an die ein braver Programmierer einfach nicht gedacht hat, weil er sich vorrangig erstmal um seine eigentliche Arbeit kümmern muss. Und wahrscheinlich haben wenige Programmierer von Shimano jemals den Begriff "Side Channel Power Analysis" gehört oder sich damit beschäftigt. Und "ja", es gibt außer Biken kaum Schöneres für uns als in einer ruhigen Stunde solche "Nadeln im Heuhaufen" zu suchen .

 

[PeterMayer]

Wenn jeder Service-Partner von Shimano einen eigenen signierten Schlüssel/Zertifikat bekommt, und dieser auch beim Programmieren der Parameter permanent geloggt wird, wäre es nicht so einfach, an einen Zugang zu kommen, weil hier ein Mißbrauch vermutlich das Ende dieses Unternehmens wäre.

Ich stimme auch hier zu. Wie bereits zuvor geschrieben könnte das Shimano System auf alle Fälle deutlich abgesicherter sein, aber selbst wenn es so wäre würde es trotzdem immer noch irgendwo eine Schwachstelle geben. Die Frage ist nur ob es jemand geben wird der Interesse daran hat wochen- oder gar monatelang ohne jegliche mögliche Aussicht auf Erfolg zu suchen wo diese zu finden ist... Warten wir ab was kommen wird. Es bleibt spannend.

 

[Rowerek]

Es bleibt spannend

Hoffen wir, dass sich weiterhin Lücken und Möglichkeiten finden

 

[Rowerek]

Das ist genau die Stelle welche wir aktuell suchen um herauszufinden ob dort "etwas zu bewegen" ist. Ausgang derzeit noch offen.

Haben die Motoren ein JTAG Interface?

 

[PeterMayer]

Haben die Motoren ein JTAG Interface?

Also gut, ein kleines "Gute - Nacht - Bonbon" für alle Interessierten:
In den meisten Shimano STePS Motoren steckt ein Renesas RX Mikrocontroller der die Aufgaben des eigentlichen 3-Phasen BLDC Motor - Antriebs übernimmt. Da dies ein auf dem freien Markt zugänglicher Chip (mit JTAG) ist, ist es keine allzu große Schwierigkeit für den geübten "Chipflüsterer" mit entsprechender Ausrüstung hier entsprechend aktiv zu werden.
Die wirkliche Herausforderung ist jedoch der Kommunikationschip welcher in jeder Komponente eines STePS Systems steckt, also auch bspw. im PCE - Interface, natürlich in der Antriebseinheit, im Display, in jedem Shimano Lenkerschalter und natürlich auch im elektronischen Di2 Schaltwerk. Dieser Chip ist ein "custom made" Schaltkreis, speziell von und für Shimano entwickelt und gefertigt.

Hier ein Auszug aus einer unserer ersten Analysen aus dem Jahr 2017:

Für diesen Chip gibt es definitiv weltweit keinerlei frei zugängliche Unterlagen und Shimano hütet dieses Geheimnis unglaublich gut!
Um diesen Chip zu analysieren haben wir mehrere davon geröntgt sowie mechanisch und chemisch entdeckelt (decapped) und mit einem extrem hochwertigen Rasterelektronenmikroskop untersucht.
Ich denke wir sind die einzigen weltweit welche es geschafft haben diesen Chip partiell in einem mächtigen Xilinx ZYNQ FPGA funktionsfähig nachzubilden und somit die vollkommen proprietäre Buskommunikation des STePS Systems zu simulieren.
Im Gegensatz zu den meisten Systemen anderer E-Bikes handelt es sich hierbei nämlich um keinen "einfachen" CAN - Bus, sondern eben um ein ganz spezielles, ansonsten nicht auf dem Markt bekanntes Kommunikationsprotokoll, sowohl softwareseitig als auch von der hardwareseitigen Codierung.
Da soll noch einer sagen dass sich Shimano keine Mühe gibt...
Mehr können wir an dieser Stelle allerdings nicht preisgeben.
Also machen wir die "Schatzkiste" nun wieder zu.