Nouvelle carte Csat
- Auteur de la discussion -jf-
- Date de début
soleildemo
DZSatien V.I.P
- Inscrit
- 25/8/07
- Messages
- 597
oui le x3 et m2s sont supers.
regarde ce lien tu comprendras http://www.totalsat.co.uk/cristor-tsx3-p-119.html
salut je suis moi aussi en possession de la derniere carte ainsi que celle juste avant je serais donc partant d'echanger toutes infos possible mais ce pendant j'aurais besoin de matos je recherche une petite valise qu'un pot a moi avait il y a 2 ou3 ans avec la quelle il rentré ma carte officielle et quelque minutes plus tard me la rendait ok pour un moi ou deux si quelqu'un sais ou je peux acheter ce matos ainsi que d'autre materiel necessaire a la modif je suis toute ouies pas mancho et en ferais partager un max merci par avance
lazerus144
DZSatien Curieux
- Inscrit
- 16/10/08
- Messages
- 39
Merci pour le partage
carte nagra, seca, merlin
salut les amis, voila ce que j'ai trouver sur le net ( ce n'ai pas de moi ).
les infos sont tres interresant:
0. - Type de cartes
Ils Existent cinq types de cartes, la Rom3, Rom10 et Rom11 pour nagra-1 et Rom101 et Rom110 pour nagra-2. Chaque type de carte a une révision (version de l'eeprom) différente. La Rom3 est restée dans sa dernière révision comme rev340, la Rom10 en revA3E et la Rom11 en revB09.
1.- CAM -> Número de serie de la carte (unique)
Code:
04 60XX XXXX XX ROM 3.
04 61XX XXXX XX Majoritairement ROME 10 et certaines ROME 3.
04 62XX XXXX XX ROM 11. et ROM 110.
04 64XX XXXX XX ROM 101
04 65XX XXXX XX ROM 110
2 IRD -> ; Numéro série ou numérotation du décodeur
3 BoxKey -> ; Clé commune entre la carte et qui est aussi dans le deco. Si ne coïncident pas les deux, il ne fonctionne pas.
4 ZIP -> ; Code postal à auquel appartient l'abonné.
5 BUG CATCHERS -> ; Les bugcatchers sont écrites dans l'eeprom d'échecs en ROM. En nagra l'eeprom se divise en deux zones une de données et une autre de code et dans cette dernière le fournisseur peut enregistrer tout les codes possible par la carte, en principe ils servaient à corriger les bugs, mais comme vous avez peut étre pouvez être compris ils lui ont donné d'autres utilisations. Le microprocesseur de controle cherchera le bugcatcher dés qu'il trouvera dans la ROm une interruption de software.
6. - NUMBUGS - > ; La taille du tableau des bugcatchers augmente au fur et à mesure que le fournisseur ajoute des sous-routines qui corrigent de possibles bugs, ce nombre est augmenté à la révision suivante. En mettant cette valeur à 00, l'accés resterait ouvert pendant les sauts aux bugcatchers, en laissant l'accés totalement menacé.
7. - Backdoor **** - > ; On peut accéder à la carte non seulement avec les ins cryptées mais d'une autre manière dans laquelle il n'y a pas d'encryptage, ce sont les instructions appelées backdoor qui permettent de lire et d'écrire dans l'eeprom (théoriquement dans toute zone de la carte) mais pour cela il est nécessaire de connaître la clé de pas, appelés clef backdoor. Étant donné les bugs successifs trouvés dans les différentes versions des cartes n*gr* 1 on a pu examiner la valeur de ces clés ce qui a ouvert la possibilité de les lire et d'écrire dans ces dernières.
- Les cartes nagra ont plusieurs commandes de backdoor inclus qui permettent la charge de l'EEPROM et d'autres fonctions utiles. Celles-ci backdoors (portes arrières) ont besoin de deux passwords de 16 bytes avant de pouvoir travailler avec elles. La première clé est stockée en ROM et est la méme pour toutes les cartes de Nagravisión avec le même numéro de version. La seconde clé est stockée dans l'EEPROM et est, probablement, unique pour chaque carte.
8. Commandes Backdoor -> ; Une fois qu'on connaît les clés de backdoor, il existe plusieurs utilités qui supposent une méthode simple de renverser la carte, de leur introduire un code 3M et autres.
Exemples :
- Commande $0E : elle efface l'EEPROM
- Commande $20 : Login (Utilisé pour la dire à la CAM quelles sont les passwords)
- Commande # $$B0>: Renverser mémoire
- Commande # $$D6>: elle exécute le code/elle écrit dans l'EEPROM
9 LoginBackdoor -> ; Une forme de "Sésame" ; dans la carte, une fois qu'on connaît le password de cette dernière et pouvoir ainsi exécuter des commandes de Backdoor pour modifier des données dans l'Eeprom. Les clés sont vérifiées et sont utilisés avant d'exécuter tout autre commande de backdoor, ce pourquoi il est seulement nécessaire de les envoyer une fois.
Code:
21 00 25 ; A0 20 00 00 ;Comande Backdoor: Login
20 ;Longueur de commande
8F AB C2 64 44 9A FE 70 ;Password de la ROM
1D E7 62 FA B1 4C 31 06
00 11 22 33 44 55 66 77 ;Password de l'EEPROM
88 99 AA BB CC DD EE FF DE ;Checksum
10. - CYCLEBYTE -> ; Dans la zone de code, il y a un byte important situé dans la position C0A0 (en ROM10), il est appelé le CYCLEBYTE, sa valeur change en fonction de chaque révision de la carte. Quand on mettra à jour les visas, ce qu'il faut c'est vérifier ce byte, si a déjà la valeur correcte, et ne rien faire si on ne procède pas à la mise à jour du visa.
15. - Tiers - > ; C'est l'équivalent du PBM de seca. Ce sont les différents paquets assemblés, avec des informations diverses (date et heure d'activation, de début d'expiration, etc. )
16. - WORMS (Vers) - > ; Code qui est utilisé pour "Entrée" dans la carte. Quand on découvrira un certain bug, on pourra construire ces vers pour ouvrir la carte au lieu d'utiliser les BackDoor (quand celles-ci seront inconnues). On l'utilise généralement quand le fournisseur a mis à jour la carte par une nouvelle révision et il est nécessaire de les réouvrir….
Un exemple probable pour ouvrir les ROM10
"Rendez-vous" :
Consiste à envoyer au visa une commande chiffré avec une EMMKey, la nôtre, et ensuite un ver au moyen d'une commande $61 qui porte notre EMMKey de sorte qu'il soit capable de desencrypter la premiere commande et de l'exécuter. La premiere commande sera une instruction d'exécuter un code en RAM
17. - Datatypes - > ; Registres de longueur variable et qui ont un entête qui indique le type d'information qu'il contient : clés du fournisseur, droits de vision… et qui sont connus dans le jargon comme les datatypes. Par exemple dans le 01 qui est unique dans chaque carte il est l'UA, le numéro du deco (ird dans la terminologie nagra, bueno et DVB) la boxkey du deco, la date. OU aussi dans le 07 le jeu de clés de desencryptage
LA EEPROM DE nagra
DATATYPES
Entre les datatypes qui appartiennent à chaque fournisseur de la carte il y en a trois obligatoires pour chacun :
D'abord des 01 ou 02 qu'il s'agisse du fournisseur de gestion ou de ceux de vision. Comme les deux types de fournisseurs sont très différents, le datatype l'est aussi. Le 01 (appelé information du récepteur) contient ce qui concerne le desencryptage, information du nombre d'ird et la boxkey (aussi le code postal mais on ne sait s'il a été utilisé parfois pour limiter des droits de vision) et un byte appelé ird status qui apparaît aussi dans d'autres datatypes, dans le le datatypes 01,.02,.06 et 07 si le bit 7 est à à 1 cela veut dire un abonnement suspendu. Le 02 (appelé filtre de vision) a seulement le ID du système et le byte d'irdSatus.
Deuxièmement un 06 contient outre le byte de l'état de l'ird les deux clés publiques (les 0C, 0D, 0E de seca)
Troisiémement deux registres 07 qui contiennent une zone de quatre bytes appelé numéro de key set, parce que nous avons deux jeux de clés et ensuite les clés , chaque jeu de clés contient trois paritykeys de 15 bytes (la 0, la1 et la 2) la 2 est celle qui est utilisée dans les ins qu'envoie le fournisseur , est communne à toutes les cartes et on l'utilise pour produire les 2 nombres premiers du premier module des deux RSA à travers des routines de la Rom de la carte, la 1 paraît etre celle qui est employée pour chiffrer les données quand on fait une demandes par téléphone et le 0 on ne sait à quoi il sert; c'est ensuite la verifykey de 8 bytes qui est employée dans la signature se, on fait un hash avec cette clé et s'il donne la même chose que l'ins envoyée c'est correcte ; et finalement l'emmkey qui est l'autre module de la RSA double
Exemples : Nous voyons qu'effectivement, le premier byte 07 est toujours bon , le deuxième est la longueur du registre, et le tiers est le type de registre
Datatype type 01 avec ROM10: (Provider de Gestion 40 01)
D000: 07 27 01 40 01 00 01 00 00 20 1E 04 00 ED 29 44--> IRD (invertida)
D010: 09 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
D020: 00 4E E4 9E 9B 99 44 CA AD ---> Box Key
Datatype type 02 avec ROM10: (Provider de vision 41 01)
D110: E5 83 C7 94 26 E3 AD C7 07 05 02 41 01 00 00 07
Datatype type 06 avec ROM10:
D020: 00 4E E4 9E 9B 99 44 CA AD 07 38 06 40 00 00 1B
D030: 7F 78 55 FF FF FF FF FF FF FF FF FF FF 00 FF FF
D040: 00 00 FF FF 00 00 00 00 00 00 00 00 00 00 00 00
D050: 00 00 00 K0 K0 K0 K0 K0 K0 K0 K0 K1 K1 K1 K1 K1 --> Clés publiquesK0 et K1
D060: K1 K1 K1
Datatype type 07 avec ROM10:
D060: K1 K1 K1 07 79 07 40 3F 00 AA AA AA AA AA AA AA ---> Parity Key 0 (AA's)
D070: AA AA AA AA AA AA AA AA BB BB BB BB BB BB BB BB ---> Parity Key 1 (BB's)
D080: BB BB BB BB BB BB BB19 A1 C2 B8 A2 32 4C 9F DD --> Parity Key 2
D090: AE 0C 25 00 24 69 D7 32 AF 2B B2 30 72 2E F3 51 --> Verify Key
D0A0: CB AD 69 F4 12 CE F6 5B C5 6C CB DD 7A B5 3A 7F ---> EMMK0
D0B0: D3 87 C6 96 E8 15 32 F5 FC 13 98 0E 93 47 A7 9C
D0C0: C4 FC A8 36 3F 96 76 4B 0A B0 A9 88 6E A2 E8 D7
D0D0: 4A 3F B6 E3 92 6E 72 68 30 63 77 48 EE 8A 07 38
Pour expliquer assez simplement , voici le principe:
Les decodeurs Csat ne savent pas ce qu'est le nagra, ils ne connaissent que le seca, donc le dialogue entre la carte et le demo se fait toujours en seca, d'où l'utilisation des classiques C13A,C13C et C140 que l'on retrouve dans les trames de dialogue entre carte et démo.
Par contre en ce qui concerne les ins internes, elles sont cryptées en nagra.Le coeur est donc un cryptage nagra, l'exterieur est en seca pour communiquer avec le demo
salut les amis, voila ce que j'ai trouver sur le net ( ce n'ai pas de moi ).
les infos sont tres interresant:
0. - Type de cartes
Ils Existent cinq types de cartes, la Rom3, Rom10 et Rom11 pour nagra-1 et Rom101 et Rom110 pour nagra-2. Chaque type de carte a une révision (version de l'eeprom) différente. La Rom3 est restée dans sa dernière révision comme rev340, la Rom10 en revA3E et la Rom11 en revB09.
1.- CAM -> Número de serie de la carte (unique)
Code:
04 60XX XXXX XX ROM 3.
04 61XX XXXX XX Majoritairement ROME 10 et certaines ROME 3.
04 62XX XXXX XX ROM 11. et ROM 110.
04 64XX XXXX XX ROM 101
04 65XX XXXX XX ROM 110
2 IRD -> ; Numéro série ou numérotation du décodeur
3 BoxKey -> ; Clé commune entre la carte et qui est aussi dans le deco. Si ne coïncident pas les deux, il ne fonctionne pas.
4 ZIP -> ; Code postal à auquel appartient l'abonné.
5 BUG CATCHERS -> ; Les bugcatchers sont écrites dans l'eeprom d'échecs en ROM. En nagra l'eeprom se divise en deux zones une de données et une autre de code et dans cette dernière le fournisseur peut enregistrer tout les codes possible par la carte, en principe ils servaient à corriger les bugs, mais comme vous avez peut étre pouvez être compris ils lui ont donné d'autres utilisations. Le microprocesseur de controle cherchera le bugcatcher dés qu'il trouvera dans la ROm une interruption de software.
6. - NUMBUGS - > ; La taille du tableau des bugcatchers augmente au fur et à mesure que le fournisseur ajoute des sous-routines qui corrigent de possibles bugs, ce nombre est augmenté à la révision suivante. En mettant cette valeur à 00, l'accés resterait ouvert pendant les sauts aux bugcatchers, en laissant l'accés totalement menacé.
7. - Backdoor **** - > ; On peut accéder à la carte non seulement avec les ins cryptées mais d'une autre manière dans laquelle il n'y a pas d'encryptage, ce sont les instructions appelées backdoor qui permettent de lire et d'écrire dans l'eeprom (théoriquement dans toute zone de la carte) mais pour cela il est nécessaire de connaître la clé de pas, appelés clef backdoor. Étant donné les bugs successifs trouvés dans les différentes versions des cartes n*gr* 1 on a pu examiner la valeur de ces clés ce qui a ouvert la possibilité de les lire et d'écrire dans ces dernières.
- Les cartes nagra ont plusieurs commandes de backdoor inclus qui permettent la charge de l'EEPROM et d'autres fonctions utiles. Celles-ci backdoors (portes arrières) ont besoin de deux passwords de 16 bytes avant de pouvoir travailler avec elles. La première clé est stockée en ROM et est la méme pour toutes les cartes de Nagravisión avec le même numéro de version. La seconde clé est stockée dans l'EEPROM et est, probablement, unique pour chaque carte.
8. Commandes Backdoor -> ; Une fois qu'on connaît les clés de backdoor, il existe plusieurs utilités qui supposent une méthode simple de renverser la carte, de leur introduire un code 3M et autres.
Exemples :
- Commande $0E : elle efface l'EEPROM
- Commande $20 : Login (Utilisé pour la dire à la CAM quelles sont les passwords)
- Commande # $$B0>: Renverser mémoire
- Commande # $$D6>: elle exécute le code/elle écrit dans l'EEPROM
9 LoginBackdoor -> ; Une forme de "Sésame" ; dans la carte, une fois qu'on connaît le password de cette dernière et pouvoir ainsi exécuter des commandes de Backdoor pour modifier des données dans l'Eeprom. Les clés sont vérifiées et sont utilisés avant d'exécuter tout autre commande de backdoor, ce pourquoi il est seulement nécessaire de les envoyer une fois.
Code:
21 00 25 ; A0 20 00 00 ;Comande Backdoor: Login
20 ;Longueur de commande
8F AB C2 64 44 9A FE 70 ;Password de la ROM
1D E7 62 FA B1 4C 31 06
00 11 22 33 44 55 66 77 ;Password de l'EEPROM
88 99 AA BB CC DD EE FF DE ;Checksum
10. - CYCLEBYTE -> ; Dans la zone de code, il y a un byte important situé dans la position C0A0 (en ROM10), il est appelé le CYCLEBYTE, sa valeur change en fonction de chaque révision de la carte. Quand on mettra à jour les visas, ce qu'il faut c'est vérifier ce byte, si a déjà la valeur correcte, et ne rien faire si on ne procède pas à la mise à jour du visa.
15. - Tiers - > ; C'est l'équivalent du PBM de seca. Ce sont les différents paquets assemblés, avec des informations diverses (date et heure d'activation, de début d'expiration, etc. )
16. - WORMS (Vers) - > ; Code qui est utilisé pour "Entrée" dans la carte. Quand on découvrira un certain bug, on pourra construire ces vers pour ouvrir la carte au lieu d'utiliser les BackDoor (quand celles-ci seront inconnues). On l'utilise généralement quand le fournisseur a mis à jour la carte par une nouvelle révision et il est nécessaire de les réouvrir….
Un exemple probable pour ouvrir les ROM10
"Rendez-vous" :
Consiste à envoyer au visa une commande chiffré avec une EMMKey, la nôtre, et ensuite un ver au moyen d'une commande $61 qui porte notre EMMKey de sorte qu'il soit capable de desencrypter la premiere commande et de l'exécuter. La premiere commande sera une instruction d'exécuter un code en RAM
17. - Datatypes - > ; Registres de longueur variable et qui ont un entête qui indique le type d'information qu'il contient : clés du fournisseur, droits de vision… et qui sont connus dans le jargon comme les datatypes. Par exemple dans le 01 qui est unique dans chaque carte il est l'UA, le numéro du deco (ird dans la terminologie nagra, bueno et DVB) la boxkey du deco, la date. OU aussi dans le 07 le jeu de clés de desencryptage
LA EEPROM DE nagra
DATATYPES
Entre les datatypes qui appartiennent à chaque fournisseur de la carte il y en a trois obligatoires pour chacun :
D'abord des 01 ou 02 qu'il s'agisse du fournisseur de gestion ou de ceux de vision. Comme les deux types de fournisseurs sont très différents, le datatype l'est aussi. Le 01 (appelé information du récepteur) contient ce qui concerne le desencryptage, information du nombre d'ird et la boxkey (aussi le code postal mais on ne sait s'il a été utilisé parfois pour limiter des droits de vision) et un byte appelé ird status qui apparaît aussi dans d'autres datatypes, dans le le datatypes 01,.02,.06 et 07 si le bit 7 est à à 1 cela veut dire un abonnement suspendu. Le 02 (appelé filtre de vision) a seulement le ID du système et le byte d'irdSatus.
Deuxièmement un 06 contient outre le byte de l'état de l'ird les deux clés publiques (les 0C, 0D, 0E de seca)
Troisiémement deux registres 07 qui contiennent une zone de quatre bytes appelé numéro de key set, parce que nous avons deux jeux de clés et ensuite les clés , chaque jeu de clés contient trois paritykeys de 15 bytes (la 0, la1 et la 2) la 2 est celle qui est utilisée dans les ins qu'envoie le fournisseur , est communne à toutes les cartes et on l'utilise pour produire les 2 nombres premiers du premier module des deux RSA à travers des routines de la Rom de la carte, la 1 paraît etre celle qui est employée pour chiffrer les données quand on fait une demandes par téléphone et le 0 on ne sait à quoi il sert; c'est ensuite la verifykey de 8 bytes qui est employée dans la signature se, on fait un hash avec cette clé et s'il donne la même chose que l'ins envoyée c'est correcte ; et finalement l'emmkey qui est l'autre module de la RSA double
Exemples : Nous voyons qu'effectivement, le premier byte 07 est toujours bon , le deuxième est la longueur du registre, et le tiers est le type de registre
Datatype type 01 avec ROM10: (Provider de Gestion 40 01)
D000: 07 27 01 40 01 00 01 00 00 20 1E 04 00 ED 29 44--> IRD (invertida)
D010: 09 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
D020: 00 4E E4 9E 9B 99 44 CA AD ---> Box Key
Datatype type 02 avec ROM10: (Provider de vision 41 01)
D110: E5 83 C7 94 26 E3 AD C7 07 05 02 41 01 00 00 07
Datatype type 06 avec ROM10:
D020: 00 4E E4 9E 9B 99 44 CA AD 07 38 06 40 00 00 1B
D030: 7F 78 55 FF FF FF FF FF FF FF FF FF FF 00 FF FF
D040: 00 00 FF FF 00 00 00 00 00 00 00 00 00 00 00 00
D050: 00 00 00 K0 K0 K0 K0 K0 K0 K0 K0 K1 K1 K1 K1 K1 --> Clés publiquesK0 et K1
D060: K1 K1 K1
Datatype type 07 avec ROM10:
D060: K1 K1 K1 07 79 07 40 3F 00 AA AA AA AA AA AA AA ---> Parity Key 0 (AA's)
D070: AA AA AA AA AA AA AA AA BB BB BB BB BB BB BB BB ---> Parity Key 1 (BB's)
D080: BB BB BB BB BB BB BB19 A1 C2 B8 A2 32 4C 9F DD --> Parity Key 2
D090: AE 0C 25 00 24 69 D7 32 AF 2B B2 30 72 2E F3 51 --> Verify Key
D0A0: CB AD 69 F4 12 CE F6 5B C5 6C CB DD 7A B5 3A 7F ---> EMMK0
D0B0: D3 87 C6 96 E8 15 32 F5 FC 13 98 0E 93 47 A7 9C
D0C0: C4 FC A8 36 3F 96 76 4B 0A B0 A9 88 6E A2 E8 D7
D0D0: 4A 3F B6 E3 92 6E 72 68 30 63 77 48 EE 8A 07 38
Pour expliquer assez simplement , voici le principe:
Les decodeurs Csat ne savent pas ce qu'est le nagra, ils ne connaissent que le seca, donc le dialogue entre la carte et le demo se fait toujours en seca, d'où l'utilisation des classiques C13A,C13C et C140 que l'on retrouve dans les trames de dialogue entre carte et démo.
Par contre en ce qui concerne les ins internes, elles sont cryptées en nagra.Le coeur est donc un cryptage nagra, l'exterieur est en seca pour communiquer avec le demo
adosse
DZSatien Occasionnel
- Inscrit
- 28/7/10
- Messages
- 99
mais quellecartes V10 OU V7
ok, merci pour ces infos
Mais personne ne sait si vers le mois de Juillet il y aura moyen de modifier la carte CanalSat Viaccess 3.0 avec un unlooper ? ( car bientôt plus de TPS)
