Sky Box zerlegen um Pairing zu umgehen

[Grimeton]

AW: Sky Box zerlegen um Pairing zu umgehen

Das ist doch gerade der Trick, die Kommunikation zwischen Karte und CAM läuft hoch verschlüsselt ab. Genau das verhindert ja auch den Einsatz in OSCAM, da man genau diese Verschlüsselung nicht kennt und nicht brechen kann. Um die Kommunikation zwischen Karte und CAM abzuhören nützt einem ein Oszi auch recht wenig, wie die Übertragung statt findet ist spezifiziert und kennt ja jeder. Im übrigen gibt es schon ewig Season Interfaces, in die man die Karte steckt und dann komplett in das CAM.

Ok, nur mal schnell zum Verständnis: Wenn OSCAM die Karte bisher genutzt hatte ohne "Pairing" dann lief das ohne Verschlüsselung oder? Und jetzt nutzen die Sky Receiver die Karte nur noch mit Verschlüsselung? Wenn das ein public key Verfahren ist, dann könnte ich mir vorstellen das die Karte schlicht den Dienst verweigert solange die Kommunikation nicht verschlüsselt ist. Und dann müsste auch Niemand nach nem Schlüssel irgendwo suchen sondern man müsste eher dahinter kommen wie man die Kommunikation initialisiert.

Ich glaube wir spekulieren da gerade viel rum. Ich werde morgen mal die Spezifikationen lesen die auf der Heimseite von CI+ veröffentlicht sind. Vielleicht bin ich dann etwas schlauer ...

Wenn man es richtig gemacht hat, dann ist es eine Asymmetrische Verschlüsselung und beide Richtungen sind verschlüsselt. Wenn also jeweils auf Karte und CAM ein eigener Private Key hinterlegt ist, dann müsste man auch an beide Schlüssel kommen um mit der Karte zu sprechen.

Siehe public key etwas weiter oben...

Man kann ja die Schnittstelle samt geklauten Treiber auch ohne komplette Dreambox aufbauen, wie man jetzt den Transportstrom drüber jagt ist ja egal.

Ich hab vorhin schon etwas geträumt und nach nem CI+Modul-Reader gesucht der per USB angesprochen werden kann. Soweit ich weiss ist die Schnittstelle in Hardware PCMCIA, aber ob die Belegung wirklich noch stimmt ...

Nochmal ne Frage fürs Verständnis: Wenn ich ein CI+Modul einsetze, wo wird dann der Fernsehstrom entschlüsselt? Weiter wie gehabt in der Box, sprich: das Modul liefert weiter das CW oder greift das Modul direkt ein? Wenn das Modul weiter das CW liefer könnte man die Anfragen ja einfach übers Modul machen und gut ist... Ich denke das meinst du mit "Transportstrom drüber jagen"!?

Wenn dann aber Schlüssel geändert werden, hilft das einem dann auch nicht weiter.

Stümmt...

Die sind mittlerweile schon gut abgesichert, ähnlich dem ROM der Smartcard.

Gruß Stefan

Cu

 

[Stefan2k]

AW: Sky Box zerlegen um Pairing zu umgehen

Ok, nur mal schnell zum Verständnis: Wenn OSCAM die Karte bisher genutzt hatte ohne "Pairing" dann lief das ohne Verschlüsselung oder? Und jetzt nutzen die Sky Receiver die Karte nur noch mit Verschlüsselung? Wenn das ein public key Verfahren ist, dann könnte ich mir vorstellen das die Karte schlicht den Dienst verweigert solange die Kommunikation nicht verschlüsselt ist. Und dann müsste auch Niemand nach nem Schlüssel irgendwo suchen sondern man müsste eher dahinter kommen wie man die Kommunikation initialisiert.

Ich glaube wir spekulieren da gerade viel rum. Ich werde morgen mal die Spezifikationen lesen die auf der Heimseite von CI+ veröffentlicht sind. Vielleicht bin ich dann etwas schlauer ...

Ich sag mal so, Verschlüsselungsversuche zwischen CAM und Karte gab es schon öfter. Die waren aber recht schwach, so dass man diese nachbauen konnte. Man kann sich bei OSCAM ja anschauen, wie mit der Karte gesprochen wird. Die Karte verweigert ja nicht ihren Dienst, denn initialisieren lässt sie sich ja. Sie erwartet jedoch eine Verschlüsselte Anfrage, auf die sie auch nur Verschlüsselt antwortet. Das hat aber in dem Fall nichts mit CI+ zu tun, sondern ist jetzt NDS spezifisch. Bei CI+ geht es ja nur darum auch die Kommunikation CAM und CI Interface zu sichern, damit man auch sicherstellen kann dass nur zertifizierte Module und Receiver verwendet werden. Das rundet eben die ganze Sache ab, man kämpft also bei CI+ und NDS an zwei Stellen. Deswegen der Ansatz NDS und CAM das machen zu lassen was sie machen sollen und nur bei CI+ anzusetzen, das wäre meiner Meinung nach die angreifbare Stelle.

Ich hab vorhin schon etwas geträumt und nach nem CI+Modul-Reader gesucht der per USB angesprochen werden kann. Soweit ich weiss ist die Schnittstelle in Hardware PCMCIA, aber ob die Belegung wirklich noch stimmt ...

Nochmal ne Frage fürs Verständnis: Wenn ich ein CI+Modul einsetze, wo wird dann der Fernsehstrom entschlüsselt? Weiter wie gehabt in der Box, sprich: das Modul liefert weiter das CW oder greift das Modul direkt ein? Wenn das Modul weiter das CW liefer könnte man die Anfragen ja einfach übers Modul machen und gut ist... Ich denke das meinst du mit "Transportstrom drüber jagen"!?

Es ist weiterhin PCMCIA, es gibt sogar viele CI+ Module die in CI Schächten laufen. Ggf. dann nur mit Einschränkungen, so dass der Contentanbieter z.B. HD Programme oder ähnliches blockieren kann. Das eigentliche Entschlüsseln ist wie gehabt, da sich am CSA selbst ja überhaupt nichts geändert hat. Bei CI+ zertifizierten Geräten wird lediglich dafür gesorgt, dass man auf dem Weg bis zum CSA normal keine Möglichkeit hat auf irgendwas zuzugreifen. Wobei da teilweise auch einiges komplett in Software implementiert sein muss, sonst würde es ja z.B. mit einer Dreambox nicht funktionieren.

Die Frage ist jedoch ob der CSA schon im CI+ Treiber steckt und da auch entschlüsselt wird, wobei ich mir das eigentlich nicht vorstellen kann auch wenn der CSA in Software mittlerweile auch dank schneller Prozessoren schnell genug zu implementieren ist. In der CI+ Verschlüsselungskette ist ja vorgesehen dass das CW über die CC Encryption/Decryption Routine läuft. Diese endet aber auch irgendwo, genau da ist der Ansatz das CW wieder in Klartext zu erhalten.

 

[Grimeton]

AW: Sky Box zerlegen um Pairing zu umgehen

Ist es eigentlich sicher das die Karte auf den verschlüsselten Handshake wartet?

Ich verfolge da momentan eine andere Theorie mit der Seriennummer der Box:

Entweder es wird eine andere, interne Seriennummer genutzt die mit der extern aufgedruckten nichts zutun hat (auf dem Board steht IIRC eine andere Nummer) oder es wird die Seriennummer anders genutzt.

Dazu fallen mir ein paar Beispiele ein die ich im Forum schon gelesen habe. Z.B. das bei einem Nicht-Sky-Receiver die Seriennummer des CI Modules im EMM auftaucht, bei Sky Geräten die Seriennummer aber angeblich "verschlüsselt" ist. Denkbar ist hier doch das die Seriennummer herangezogen und mit Bit-Shifting gearbeitet wird oder es ein anderer Ausschnitt aus der Seriennummer ist. Vielleicht weiter vorne. Dafür würde sprechen das man die Karten zwischen den Receivern tauschen kann. Habe ich zwei Seriennummern und man eicht die Karte auf den Anfang anstelle des Endes sind die Chancen recht hoch das die Karte in beiden Receivern läuft wenn sie zeitnah bezogen wurden. Kann natürlich auch sein das Sky einfach alle Karten auf die bekannten Receiver gleichzeitig paired und die Karten deshalb in beiden Receivern ohne Probleme laufen.

Ich könnte mir aber auch vorstellen das die verwendete Serial entweder on the fly generiert wird oder im EMM, welches das Pairing anstösst, enthalten ist und einfach von der Box übernommen wird. Um das herauszufinden bräuchte man mal einen Satz EMMs gleicher Länge bei denen klar erkennbar ist wo die Serial steht (CI Modul), und welche bei denen die Serial angeblich verschlüsselt ist (Sky Gerät). Damit könnte man dahinter kommen. Leider fehlen mir die momentan. Ich habe vorhin mal ein paar Zeilen in Python geschrieben welche die Seriennummer beider Receiver in unterschiedlich große Blöcke aufteilen, nach Hex konvertieren und dann in den EMMs danach suchen. Bisher leider kein Ergebnis. Ich hab die Seriennummer auch noch bis zu 3 stellen nach links/rechts geshifted bevor ich nach hex gewandelt habe, ohne Erfolg.

Daher wäre es extrem wichtig mal einen vergleichbaren Satz EMMs gleicher Länge in die Finger zu bekommen um da evtl. eine Lösung zu finden.

Ich habe da noch ein paar andere Ideen wie die Seriennummer verändert werden könnte. Ich denke nämlich nicht das die Nummer verschlüsselt hinterlegt ist wenn sie auf jedem Aufkleber klar erkennbar ist.

Übrigens habe ich meine EMMs mal durch das Tool laufen lassen. Gefunden wurde immer nur die Kartennummer, aber nie eine Seriennummer der original Receiver. Das macht mich stutzig und hoffnungsvoll zugleich.

Cu

 

[delcasa2010]

AW: Sky Box zerlegen um Pairing zu umgehen

Hallo liebe freunde, ich kenne mich mit der materie nicht aus und würde auch gern wollen das es eine lösung für unsere problem gibt. was ich gern erläutern würde hier ist evtl kann es ja leuten hier weiterhelfen die sich richtig gut auskennen.
Bei denn Portguiesen gibt es schon das Pairing das die karte nur in der box läuft die man von denn bekommen hat.
Man hat damals ein weg gefunden diesen key ( rsa ) aus der karte auszulesen mit einem dump und wenn man den hat dann läuft sie in jedem emu.
ich habe schon bekannte gefragt die das machen aber die sagen das die karte bzw ländercode anderes ist und für diese karte nichts haben. gut ich denke mal die die es können intressiert es auch nicht ist ja keine karte von denn .
Dann wollte ich noch fragen ob es sein kann das himmel uk auch pairing hat ?? ich habe gehört ja und das da man auch die lösung hat und das unsere karten gleich sind mit denen.

 

[Miese.Ratte]

AW: Sky Box zerlegen um Pairing zu umgehen

In der CI+ Verschlüsselungskette ist ja vorgesehen dass das CW über die CC Encryption/Decryption Routine läuft. Diese endet aber auch irgendwo, genau da ist der Ansatz das CW wieder in Klartext zu erhalten.

Diese Rechnung machst du ohne den Wirt. Das CW verlässt das Modul gar nicht. Die komplette Entschlüsselung findet im Modul statt. Der entschlüsselte Transport-Stream wird danach neu verschlüsselt und an den TV/Receiver übergeben. Dafür wurde die Encryption/Decryption Routine im CI+ eingeführt.

Dazu fallen mir ein paar Beispiele ein die ich im Forum schon gelesen habe. Z.B. das bei einem Nicht-Sky-Receiver die Seriennummer des CI Modules im EMM auftaucht, bei Sky Geräten die Seriennummer aber angeblich "verschlüsselt" ist.

Was du meinst, sind EMMs im 07er Aufbau. Die bestehen aus mehreren Teilen. Davon kann einer für die Karte und einer für den Receiver sein. Der tatsächliche Inhalt ist immer verschlüsselt. Was man im Klartext sieht, ist nur die Adressierung der EMM-Bestandteile.

Bei denn Portguiesen gibt es schon das Pairing das die karte nur in der box läuft die man von denn bekommen hat. Man hat damals ein weg gefunden diesen key ( rsa ) aus der karte auszulesen

Das war bestimmt keine NDS-Karte. Wenn eine Karte "heilige Daten" ausspuckt, ist das der Super-Gau. Die Schlüssel zu beschützen ist ihr Job. Sonst bräuchte man sie nicht.

 

[bebe]

AW: Sky Box zerlegen um Pairing zu umgehen

@Computerbastler
Besser währe es, Du "promiere" /st in deutsch.

Bei aller Liebe, wenn man solche Sätze raushaut sollte man selbst besser im Sattel sitzen. Nicht wahr?

 

[mrwong]

AW: Sky Box zerlegen um Pairing zu umgehen

ja wie schon am anfang bemängelt

viele wichtigmacher und keiner von uns alle hier im board hätte es drauf das zu realisieren.

für mich ist der thread fürn arsch und ich fordere nochmal das er geschlossen wird.

man könnte denken manche leute schreiben von paytv23 ab

 

[seykota]

AW: Sky Box zerlegen um Pairing zu umgehen

Wenn jeder Thread geschlossen werden würde, nur aus dem Grund, dass in diesem „Wichtigmacher" unterwegs sind, könnte man auch gleich die meisten Boards komplett schließen.
Ich glaube auch nicht, dass aus diesem Projekt jemals etwas Verwertbares rauskommt, aber dies ist kein Grund den Thread zu schließen solange nicht gegen Regeln des Forums verstoßen wird. Alles andere wäre meiner Ansicht nach Willkür. Man ist auch schließlich nicht verpflichtet den Thema zu folgen.

 

[mrwong]

AW: Sky Box zerlegen um Pairing zu umgehen

naja evtl sollten die leute die sowas vor haben erstmal daheim im stillen probieren. und wenn sie wenigstens ansatzweise was zu verwerten hätten ihren senf abgebgen

ich schreib doch auch nicht das ich nächste woche nds knacke und emu bringe. wenns vor vorne rein eher schon ne totgeburt ist


das problem ist das man bei der geiz ist geil mentalität immer leute findet die danken das wird schon hauptsache es geht bald wieder und dann hier noch lobeshymnen und anfeuerungen von sich geben

 

[pit12]

AW: Sky Box zerlegen um Pairing zu umgehen

Da CHRALA sich nichtmehr meldet und nichtmehr auf pm´s antwortet schreibe ich hier mal um paar Leute zu suchen die einwenig helfen können da ich Programmierer bin und nicht so sehr auf hardware spezialisiert bin.
Ich bin stolzer Besitzer einer HD4.
Zuerst habe ich versucht mittels Netzwerk auf die box zuzugreifen(mit einem kleinen Programm konnte ich die box zum abstürzen bringen,Kanäle hoch und runter schalten,nichts tolles aber war mal ein Anfang).


Die hat ja bekanntlich 3 UART Anschlüsse an denen leider die widerstände für RX und TX fehlen kann ich daran noch nicht weiter arbeiten,da ein freund sie mir anlöten müsste.
Da die Box ein NXP TDA8024TT hat der für den Cardreader zuständig ist,lese ich mich gerade einwenig ein.

CHRALA versuch über ein raspberry die Daten abzufangen und diese an ein Oscam zu schicken sehe ich als möglich.
da er mir ja keine Informationen gibt,werde ich mal versuchen über den JTAG im TDA8024TT zu schauen was es da zu finden ist.

wie gesagt die Idee stehe ich nicht positiv gegenüber(ein versuch ist es aber wert um zu schauen wie weit CHRALA ist),es wäre um einiges besser(was auch mein ziel ist) in das Linux System reinzukommen,root rechte zu bekommen,ein kleines ftp Programm,openssh,auto update Funktion deaktivieren und dann mal schauen wie weit man mit oscam auf dem System kommt.

dann hätten wir quasi ein oscam server auf der sky box,pairing würde da nichtmehr so viel ausmachen...aber das ist natürlich alles wunschdenkerei...
wie weit man kommt,wird sich noch zeigen,vor allem ob man überhaupt weiter kommt.


ich möchte mich nicht wichtig machen oder so,ich suche eigentlich nur hiermit leute die die leidenschaft haben in ein System zu kommen,man sich gemeinsam austauschen kann und einwenig weiter zu kommen!

 

[seykota]

AW: Sky Box zerlegen um Pairing zu umgehen

@ mrwrong
Ich denke ich verstehe was Du meinst und stimme Dir grundsätzlich auch zu.
Anderseits, wie soll man sich austauschen, wenn nicht in irgendeiner Weise kommuniziert wird und vielleicht fühlt sich sogar durch diesen Thread ein fähiger Kopf angesprochen selbst tätig zu werden oder / und zu helfen.
Mit geht es nur darum, das solange nicht gegen Regeln verstoßen wird, man von Seiten der Moderation nicht zu stark reglementieren sollte. Dies ist zumindest meine persönliche Meinung.

 

[fun7]

AW: Sky Box zerlegen um Pairing zu umgehen

Der NXP ist ein async. Controller IC für die Smartcards, hat mit Pairing garnichts zu tun.

 

[pit12]

AW: Sky Box zerlegen um Pairing zu umgehen

danke,das habe ich auch vorhin heraus gefunden,finde super dass du dich meldest.
wie gesagt ich bin eher der programmierer,für mich ist die hardware in der box (wie merkel so schön sagte)Neuland und ich muss mich da erstmal einarbeiten.


Ich will das man sich austauscht,stück für stück weiter kommt,Meinungen und Ideen austauscht um weiter zu kommen,dafür ist ein Forum da.
keine one man show,denn wenn einer alleine sowas schafft,kann er direkt bei sky arbeiten.

 

[mrwong]

AW: Sky Box zerlegen um Pairing zu umgehen

wenn ichs jemand zugetraut hätte dann fun7

ich würde gerne mal sehen wie sich fun zu der prognose ob das was werden kann äußert

 

[Grimeton]

AW: Sky Box zerlegen um Pairing zu umgehen

Wenn man mal das Firmware image hätte könnte man da geziehlt nach Lücken suchen.

Ich habe das Sky-Firmware-Download-Tool gesehen, aber das funktioniert nur mit der englischen Sky-Variante und auch nur auf 28 Ost.

Kennt einer den Transponder usw. auf dem die Images zur Verfügung gestellt werden damit man sie downloaden kann? Wenn man den Inhalt mal kennt, findet sich bestimmt was.

Cu