カスカ 懐石・研究 39枚目

1 ：名無しさん＠編集中：2014/11/29(土) 08:10:55.06 ID:w7+nK9CJ.net

日本のデジタルテレビ放送の限定受信方式に使用されているB-CASカード及び
同じくケーブルテレビ放送に使用されているC-CASカードを解析・研究するスレです

2 ：名無しさん＠編集中：2014/11/29(土) 08:34:59.39 ID:5y3gKMVX.net

将来の4ｋ、8ｋ用のカードの研究の可否をどうするかだが。

3 ：名無しさん＠編集中：2014/11/29(土) 09:02:27.59 ID:qGsVmWdQ.net

M003 CA35ってカードがあるんだが
これってツールでいけるの？
ググっても情報がないよ

4 ：名無しさん＠編集中：2014/11/29(土) 09:23:08.98 ID:w7+nK9CJ.net

>>2
4K解像度放送でもBS/CS110にはB-CASがそのまま使われるのでは？

>>3
M003は多分ハズレ

ついでにTRMPの解析や研究もしていいと思う

5 ：名無しさん＠編集中：2014/11/29(土) 09:58:21.60 ID:vN+MV32r.net

>>http://peace.2ch.net/test/read.cgi/avi/1398985287/992n-
とりあえず、N_MAXを増減させてみたのですが、
増やしすぎると逆に悪影響が出るっぽいです。
http://i.imgur.com/1cbnej2.png?1
乱数の取り込みはこれからやってみます。

6 ：名無しさん＠編集中：2014/11/30(日) 10:25:23.40 ID:gQxqcNr/.net

前スレ
http://peace.2ch.net/test/read.cgi/avi/1398985287/

7 ：名無しさん＠編集中：2014/11/30(日) 18:12:52.39 ID:gQxqcNr/.net

SpeedyBCAS0XReverseKeyScheduler 1.1
http://www.unkom.info/

i7 965定格で20秒弱です

8 ：名無しさん＠編集中：2014/11/30(日) 19:46:28.06 ID:gQxqcNr/.net

前スレ981の
> ・c3はBFでなく正規の手順で取得する
がよくわからなかった

9 ：名無しさん＠編集中：2014/11/30(日) 21:18:53.74 ID:dkqjOv3C.net

いちいちコンパイルしなくてよいように改造してみました。

r0〜r1 → r0123 に一本化
usage: r0123 [subkey1 [subkey2 [subkey3]]]

e0 → fp2sk
標準入力から0or1のみ取り出してfpとして解釈します。
OpenMP対応。

http://pastebin.com/cbXPkFAG
解パスはLv2

10 ：名無しさん＠編集中：2014/11/30(日) 21:27:25.28 ID:v5aU5ZWb.net

>>4
BS、110度CSの4ｋ、8kのスクランブル方式はAESやCamelliaになるみたいですよ

11 ：名無しさん＠編集中：2014/11/30(日) 23:28:43.37 ID:eR6ubOG8.net

>>5
N_MAX増やすのは、EMMを送信する回数を増やしてサンプルとなるデータを増やしているだけなので、
増やし過ぎて悪影響が出る理由は…うーん、何でしょうね

>>8
先にc1を取得すればc3はそれと既知情報から計算できるので、BFする必要は無いと言う意味です

12 ：名無しさん＠編集中：2014/12/01(月) 00:37:28.91 ID:EbZ6ehdR.net

SpeedyBCAS0XReverseKeyScheduler 1.2
http://www.unkom.info/

i7 965定格で8秒強です

13 ：名無しさん＠編集中：2014/12/01(月) 00:38:28.23 ID:EbZ6ehdR.net

>>11
ありがとうございます
おかげさまで最大限の高速化ができました

14 ：名無しさん＠編集中：2014/12/01(月) 02:05:02.39 ID:mk/bsQIQ.net

逆関数の存在も忘れないであげて！
とりあえず、最後の回転とXORのところはただの32元連立方程式だから
がんばって32x32の逆行列を作るだけだよー

15 ：名無しさん＠編集中：2014/12/01(月) 15:13:42.89 ID:EbZ6ehdR.net

まだ試していないけど
WorkKeyが既知(逆鍵スケジュール等)の場合は
Round0Xの逆処理のようなことはできるかもしれない

私の頭が悪いのか>>14は理解できない

16 ：名無しさん＠編集中：2014/12/01(月) 22:32:21.24 ID:m9elal/F.net

逆行列はGF(2)上で普通どおりに計算すればいいんですか

17 ：名無しさん＠編集中：2014/12/02(火) 00:24:29.24 ID:ICKxV0zI.net

そだよー
知らない人向けに書くと
Y = X ^ rot8(X) ^ rot1(X)
みたいなのをXについて解くには、とにかくビットごとに方程式を書いて、

y0 = x0 ^ x24 ^ x31
y1 = x1 ^ x25 ^ x0
y2 = x2 ^ x26 ^ x1
...
y31 = x31 ^ x23 ^ x30

を頑張ってといて

y? ^ … ^ y? = x0
y? ^ … ^ y? = x1

に変形すればいいじゃよ。中学のときみたいに式を足したり引いたりすればいんだけど
ここでは足し算のかわりにxorするとよい

18 ：名無しさん＠編集中：2014/12/02(火) 03:29:48.49 ID:WuXhVPPy.net

IsOddParity()の部分はやっぱりとりあえず計算しちゃって検算かな
あんまりきれいじゃないけど・・・

19 ：名無しさん＠編集中：2014/12/02(火) 09:23:50.60 ID:J/FkdOJN.net

SpeedyBCAS0XReverseKeyScheduler 1.3
http://www.unkom.info/

結果チェックを追加しました
速度はあまり変わっていません

20 ：名無しさん＠編集中：2014/12/02(火) 21:50:21.91 ID:gMrbY8o2.net

>>19
>>17で懇切丁寧に説明してもらっても理解できなくて
BFAするしかないか…
うんコムは低学歴/子供オーラが出てるんだよな
普通の理系大学でてたら>>17見たら「あーそうすりゃいいのか」っていう
感想になるとおもうんだよな

21 ：名無しさん＠編集中：2014/12/02(火) 22:41:26.36 ID:J/FkdOJN.net

低学歴低能キモデブで悪かったな

22 ：名無しさん＠編集中：2014/12/02(火) 22:47:26.79 ID:J/FkdOJN.net

それっぽいところまで行った
http://pastebin.com/Ejvw41pe

23 ：名無しさん＠編集中：2014/12/03(水) 01:47:14.01 ID:P+O+m426.net

>>11
助言、ありがとうございます。
現状、こんな感じで、USBカードリーダではデータ収集が非常に厳しい環境だという事がわかりました。
http://i.imgur.com/qfpPs7r.png?1
使用カード:T422CA23(BackDoor有)すべて同一カード使用にて計測。

PCMCIAでこれだけきれいなデータが取れれば、"found"が来てもおかしくないのでは？と考え、
過去スレを読み直したところ.....ありました！
http://peace.2ch.net/test/read.cgi/avi/1398985287/836
『hoge++が必要と言う意味です』これ！やってませんでした。ごめんなさい。
って事で"found"が来るようになりました。
結果が出たらまたご報告させていただきます。

24 ：名無しさん＠編集中：2014/12/03(水) 04:58:50.58 ID:GVd/qfwo.net

>>22
＞それっぽいところまで行った

どこがだｗ
まだ何もしてないのと同じじゃねーかｗ

25 ：名無しさん＠編集中：2014/12/03(水) 06:30:47.13 ID:acY3H+ob.net

確かに
c = round00(p, k, 0);
に対して、
p == rround00(c, k, 0);
となる関数がつくれる事を確認しました
連立方程式は適当にコード書いて解きましたが、最終的に
x0 = y4 ^ y11 ^ y12 ^ y18 ^ y20 ^ y25 ^ y26 ^ y27 ^ y28
みたいになるのをシコシコ手で解くよりは、その方が正解なんでしょうね…

しかし言われてみればなるほどで、結構単純な話なんですねー
勉強になりました

26 ：名無しさん＠編集中：2014/12/03(水) 06:34:58.45 ID:acY3H+ob.net

>>23
おお、PCMCIAのは十分行けそうな感じですね
(なるべく正確な測定をする事を含め)閾値を正しく設定するのが最大かつ唯一のハードルだと思いますが、
画像のデータを見る限りそこは大丈夫そうな感じなので、後は特に詰まる部分は無いかと思います

ちなみに、バックドア有りカードなら、先にKmからサブキーを計算しておいて、
eでの検出結果と実際のサブキーが正しいか確認しながら進むと確実ですよ
そう言う事せずにやる方が達成感有って楽しいかもしれませんけどねー

27 ：名無しさん＠編集中：2014/12/03(水) 11:29:26.29 ID:h4PvSMPl.net

>>22
ここから進めずに困ってるんよ

28 ：名無しさん＠編集中：2014/12/04(木) 07:19:09.75 ID:a0e5T/cN.net

>>27
まずその方程式解いて、後は特に何も考えずに処理を逆に辿るだけでしたよ
当方は方程式はこう言う感じで解きましたが、適当に思いついたのをコードにしただけなので、
方法として正しいかどうかはわかりません
＃一応、答えはあってる様です
ttp://pastebin.com/RJt2CYEe

29 ：名無しさん＠編集中：2014/12/04(木) 10:38:27.04 ID:9mCd1qEd.net

>>28
割とシンプルなんですね
32元あるので難しく考えすぎてました
ありがとうございます

30 ：名無しさん＠編集中：2014/12/04(木) 14:54:11.32 ID:9mCd1qEd.net

BCASProtocol0XReverseKeyScheduler 1.0
http://www.unkom.info/

逆関数を実装

31 ：名無しさん＠編集中：2014/12/04(木) 20:40:46.96 ID:a0e5T/cN.net

ちなみに回転とxorの組み合わせで、同じ様なパターン(=入力に対して出力が重複していないパターン)なら、
64元でも128元でも同じ仕組みで解けると思いますよ
＃そのソース内の固定値32を必要ビット数に変えるだけです

xorの回数が増えても、変換前の式設定時点でのフラグ立てる数を増やすだけなので、そこそこ汎用的な部品に
なってる気はしますね
もっとも、それが必要な状況になんて殆ど遭遇しなさそうですが

32 ：名無しさん＠編集中：2014/12/05(金) 08:33:54.30 ID:qNxgN5qV.net

>>30
ソースはよ

33 ：名無しさん＠編集中：2014/12/05(金) 09:25:51.13 ID:6tsI1X0f.net

逆関数の部分が汚い気がするけどええんかな

34 ：名無しさん＠編集中：2014/12/05(金) 11:44:44.71 ID:7+UHvJqU.net

というわけで、逆関数が分かれば逆スケが速くなるので、
もう一段2^32のループを行うことができて、そうすれば全部のサブキーを使わなくてもいいような気がしてる。
んだけども、全然試せてないので君たちにまかせた！

35 ：名無しさん＠編集中：2014/12/05(金) 12:37:55.00 ID:6tsI1X0f.net

BCASProtocol0XReverseKeyScheduler 1.0のソースコード
http://www.unkom.info/

36 ：名無しさん＠編集中：2014/12/05(金) 16:13:32.61 ID:3x5hQhvB.net

それ何のソフト？

37 ：名無しさん＠編集中：2014/12/05(金) 16:32:26.81 ID:6DduKXKJ.net

残り6ファイル

★Oishii.rar: 10631CCAD0061038
├files.txt(ファイルリスト)
└★Treasure.rar: 67.228.212.146
　 ├★NetCasAdmin.rar: f-cas.com
　 └★Level2.rar: Oishii Slurper
　 　 ├★BCAS Server.rar: yakisoba sousu
　 　 ├★BCASEMU.rar: 同上
　 　 └★Level3.rar: 0000-3100-0596-4944-2958
　 　 　 ├☆AE330-TechReMain.rar:
　 　 　 ├☆BCASEMU.rar:
　 　 　 ├☆BCAS-for-AT9028515FUNCARD.rar:
　 　 　 ├☆bcas-km-database.rar:
　 　 　 ├☆IDtoKM-Converter.rar:
　 　 　 └☆T002CA20-ae330.rar:

38 ：名無しさん＠編集中：2014/12/05(金) 17:31:04.21 ID:P1iqeArc.net

C言語版
http://pastebin.com/H6EWCpLF

39 ：名無しさん＠編集中：2014/12/05(金) 18:30:56.68 ID:P1iqeArc.net

動作確認用
http://codepad.org/dYivh6zN

40 ：名無しさん＠編集中：2014/12/05(金) 19:31:02.83 ID:gTcSpfmn.net

>>34
拡大鍵の前半8バイトがわかっているなら話は簡単ですが、拡大鍵は後ろから判明して行くので、
前半だけがわかっていると言う仮定はあんまり意味無いですよね
なので、拡大鍵の一部が判明している状態と言うのは、拡大鍵の後半の4、8、あるいは12バイトだけが
わかっている状態とほぼ同義かと思います

その上で、BlockCipher()(当然その逆処理も)は、キーが決まっていれば入力/出力が1対1になるのは
わかったのですが、入力と出力だけが判明している場合のキーの一意性は保証されていないですよね？
入力と出力からキーをBFして、1つしか見つからなかった場合は問題無いと思いますが、複数見つかった
場合はそのどれが正しいのかを知る手段は無い気がするのですが、間違っているでしょうか？
＃一応、見つかったキー候補全部から有り得るパターンの全Kmを候補として取得し、そのKm候補
＃それぞれでEMMを作成して実機に食わせてみると言うローテクな手段なら存在しますが…

41 ：名無しさん＠編集中：2014/12/05(金) 22:57:15.30 ID:7+UHvJqU.net

12バイトあればKm候補はほぼ確実に1つしか見つからないはず。
だめな確率は1/2^32だからありえない。
8バイトだと確率の計算が複雑になりそうだけど、数個しか見つからないはず・・・たぶん
4バイトだけだと情報量的に無理
やっぱり気になってきたから自分で試したくなってきたぞ

42 ：9：2014/12/06(土) 00:49:30.54 ID:u81getUm.net

http://www1.axfc.net/u/3369461

全EMMコマンドの事前生成と一括転送
エンディアン依存性の排除
環境変数によるパラメータ設定
windows/linux対応
fp確認に便利なしょぼいグラフ表示 http://imgs.link/QFRkYm

解パスは定期的に貼られてる中のどれか
例によってbc.cppだけは実装を伏せてあります。

ここの住人なら自前でやっちゃうレベルの改造ですがよかったらドウゾ。

43 ：名無しさん＠編集中：2014/12/06(土) 01:02:53.23 ID:u81getUm.net

rの出力fp行だけ標準出力になってますのでeにパイプして使えます。

$ ./r | ./e

44 ：名無しさん＠編集中：2014/12/06(土) 02:51:43.28 ID:u81getUm.net

http://pastebin.com/r6Hx4wd9　修正パッチです(；´Д｀)

45 ：名無しさん＠編集中：2014/12/07(日) 03:53:53.58 ID:baUQaleD.net

ソースファイル全てのreverse32を取っ払って
store_leをsotre_beとすれば、eを少し速く回せますね。

46 ：名無しさん＠編集中：2014/12/07(日) 16:25:23.58 ID:zQRLbbV+.net

かなり遅れたけどC-CASのATR
3B F0 12 00 FF 91 81 B1 EF 45 1F 03 0A

47 ：名無しさん＠編集中：2014/12/07(日) 17:42:45.69 ID:baUQaleD.net

速くて無理かと思えていたM002CA20(バックドア有り)ですがPCでfp採れました。
linuxでpcscd以外起動していないシングルユーザーモードにて採取。
マシンは普通のノートPCです。

http://pastebin.com/LWKXzfh8
# 差もはっきり出ていますし、既知のKmから作ったｆｐとも一致。

あと、linux64bit環境だとr.cpp:teeprintfでsegfaultしたので
以下の様に修正たところ大丈夫でした。
@@ -136,6 +136,8 @@
va_list ap;
va_start(ap, fmt);
std::vfprintf(stderr, fmt, ap);
+ va_end(ap);
+ va_start(ap, fmt);
std::vfprintf(fp, fmt, ap);
va_end(ap);

48 ：名無しさん＠編集中：2014/12/07(日) 20:54:45.18 ID:LbbUkcrZ.net

>>26
r0は何回やってもきれいなグラフになるので問題無いと思うのですが、
r1をやるとTHRESHOLDラインの前後を行ったり来たりのヘロヘログラフになっちゃうんですよ。
たぶん、BlockCipher()の修正を間違えていてe0でSUBKEY_1が正常に出せていないのではないかと...
なにぶん頭が悪いのでサブキーの計算方法もわからないからSUBKEY_1が正しいのかさえわからない状態です。

49 ：名無しさん＠編集中：2014/12/07(日) 21:57:06.36 ID:baUQaleD.net

>>48
Kmが既知ならサブキーの計算は>>39のmain関数をよく見れば判ると思うよ

50 ：名無しさん＠編集中：2014/12/07(日) 22:42:13.58 ID:baUQaleD.net

0,1,0,1,0,1,1,0,0,1,1,0,0,1,0,1,0,0,1,1,0,1,0,0,0,1,0,1,1,0,0,0
このfpで50e1bddbともう一つが出てくればBlockCipherは合ってるはずだよ
ちょっとコーヒーでも飲んでくるわ

51 ：名無しさん＠編集中：2014/12/08(月) 02:43:49.69 ID:a0OW4C3h.net

　 　 　 　 なんにしましょう ＞(´∀｀)

( ´_ゝ｀)＜ フレーバーコーヒー16くれ

　 　 　 　 3つで十分ですよ ＞(´Ａ｀;)

( ´_ゝ｀)＜ いや16だ、8と8で16だ

　 　 　 　 3つで十分ですよ ＞(´Ａ｀;;)

( ´_ゝ｀)＜ ドーナツもくれ

　 　 　 　 解ってくださいよ ＞(´Ａ｀ )

52 ：名無しさん＠編集中：2014/12/08(月) 07:27:55.80 ID:Ynxpe70Z.net

>>49-50
遅レス、大変申し訳ない。
main関数の『int i;』が理解できたところで睡魔に襲われてしまい、
激闘の末！さっき、撃退しましたのでご安心ください。

0,1,0,1,0,1,1,0,0,1,1,0,0,1,0,1,0,0,1,1,0,1,0,0,0,1,0,1,1,0,0,0 -> found: 506135d3
なんじゃこりゃ！？やっぱBlockCipher()だ！！
同じミスをしない為にも恥を忍んで原因を記載しておきます。
原因:Cipher.Short[0]と[1]の行をコメントアウトしてました(爆)
理由:コンパイル時にエラーになったのでコメントアウトして忘れてた。
結果:
found: 50e1bddb
もうひとつは、これですかね？
found: badcaffe
>>51もヒントだったわけですね。ありがとうございます。
サブキーの計算についてはこれから勉強させていただきます。

53 ：名無しさん＠編集中：2014/12/08(月) 12:21:43.52 ID:UwtcgnuV.net

当方もブレードランナーは好きな映画ですが、話自体は原作の方が好きです(´ー｀)

>>47
おお、これだけきれいに差が拾えるなら行けそうですね
カウンタの解像度が1GHzあるのもさることながら、シングルユーザモードも効いてそう
ここまで来ると穴なしカードでどうなるのか知りたいところ…

54 ：名無しさん＠編集中：2014/12/08(月) 20:03:02.06 ID:d9xs7NlA.net

BCASProtocol0XReverseKeyScheduler 1.0.1
http://www.unkom.info/

主な変更
・逆鍵スケジュールの関数化
・ビットインデックステーブル処理修正
・日本語化

55 ：47：2014/12/09(火) 02:31:51.59 ID:Ko1FuCQq.net

>>53
恥ずかしながら原作はまだ読んでないですねぇ。
そういえば、イラストを来年の干支に差し替えて年賀状を刷るよう
親から言付かっていたのを思い出しました…(；´∀｀)

まぁそんな事はどうでもよくて、先のMカードについてです。
r1以降は試していませんでしたので改めて試してみたのですが、
ちょっとだけ手間取りました。

一見良好なｆｐに見えても正解じゃない場合が有りました。
正解fpと比較して１ビット違いのｆｐが出てくるという現象です。
しかも割りと安定的に出てくるのでタチガワルイ。

違いは最初の１ビットだけで、1が来てほしいのに0。
現象はr1でのみ発生。少なくとも手持ちのTでは無かった事ですね。

最終的には、
N_MAXを大幅に増やすこと(BLOCK_NUM*512)で正解を得ることは出来ました。
＃L値ランダムのアリ、ナシ両方で正解を得られました。

以上のような事が有りましたので、
Mに挑戦する方は気に留めておくと良いかもしれません。

56 ：名無しさん＠編集中：2014/12/09(火) 15:23:13.29 ID:7coCRu3A.net

初段のサブキーのビットパターンがなんだかうまい形に偏ってると、
連番でやってるLの生成とうまく相関しちゃって、初段の速度が偏るんじゃないかな？
二段目をやるときは、初段はランダムに動いてくれるのが理想なので、
Lの生成を乱数でやればよくなるのかも？

57 ：名無しさん＠編集中：2014/12/10(水) 19:48:38.74 ID:YKiMDlMR.net

よく見たらランダムありって書いてあったすまそ。
しかし、これは理屈がよくわからないぞ

58 ：55：2014/12/10(水) 23:58:37.19 ID:8ZZJSFp1.net

fpの一個目で起きてる辺り、単純にクロックの揺らぎが原因かもしれませんね。
クロックソースを確認したところtscでしたし、チップセットはsandybridge...
後日改めて計測しなおしてみます。失礼しました。

59 ：名無しさん＠編集中：2014/12/11(木) 02:16:46.58 ID:hBBDCYCN.net

やっぱり、原理的には起きなさそうなので観測の誤差でしょう。
たぶん、機器にやって最初は速くてだんだん遅くなるか、逆かによって、最初の0が1に化けやすいか逆が起き易いか
とすると、Rの試験順番を入れ替えてみれば切り分けられそう

60 ：58：2014/12/13(土) 06:17:09.39 ID:fBAFca+9.net

PCのクロックは問題なく、
カードリーダーの水晶が温まる事による、
カード側のクロック揺らぎが原因のようです。

発振子をエアダスターで冷まし続けると速くなっていき、
止めると逆になるという判りやすい結果が得られました。

N_MAXを大幅に増やした場合に正解が得られた理由は
水晶の温度が安定したからでしょうね。

>>47でR[0]がやたら速いのも合点が行きます。

61 ：名無しさん＠編集中：2014/12/13(土) 11:46:07.67 ID:LwplQ4gG.net

なにやら知らぬ間に実にハードウェア寄りな話に…

測定中エアダスターでシューし続けるのも面倒ですし、N_MAXをあんまり大きな値にして行くと
測定に必要な時間がどんどん伸びていってしまいますので、>>59さんの言う通り単にRの試験順番を変えて
複数回実行するか、実際に測定する段階に入る前にどうでも良いEMMとかをある程度投げて
温度安定させてから測定を始めるかすれば良さそうですね

62 ：名無しさん＠編集中：2014/12/14(日) 00:49:51.90 ID:AGBh4c0T.net

Rの試験順序を正順、逆順、シャッフル、と順繰りで行うようにし、
同じfpが続けて３回現れるまで、
(水晶の安定化も兼ねつつ)N_MAXを徐々に上げながら計測してみたところ、
各段で正解fpを得られました。1段20分くらいかかりましたが…
＃シングルユーザモードではなくX-Window環境にて

fp: 00010010110010011111100111111010 (57OEEY)
fp: 10010010010010011011100011101010 (14L89UY)
fp: 00000010010010011011100011111010 (MUQRE)
fp: 10011010110010011011100011101010 (16Y4TM2)
fp: 10000010110010011011100011101010 (10AEKFE)
fp: 10000010110010011011100011111010 (10AEKFU)
fp: 10010010110010011011100011111010 (14Q82KA)
fp: 10000010110010011011100011111000 (10AEKFS)
fp: 10000010110010011011100011111010 (10AEKFU)
fp: 10010010110010011011100011111010 (14Q82KA)
fp: 10010010110010011011100011111010 (14Q82KA)
fp: 10010010110010011011100011111010 (14Q82KA)
＃仮に3連続が出なくても傾向から推測できそう

ちなみにTだと、いきなり3連続HIT、2分30秒程度で完了。
カードリーダの揺らぎなど問題にならない程度に遅い感じ。

63 ：名無しさん＠そうだ選挙に行こう：2014/12/14(日) 09:04:05.38 ID:pKx/SnyI.net

意味がわからない
誰か､説明して？

64 ：名無しさん＠そうだ選挙に行こう：2014/12/14(日) 11:08:12.86 ID:AGBh4c0T.net

観測誤差の出やすいMカードからどうやって確度の高いfpを得るか。
という話。

65 ：名無しさん＠編集中：2014/12/15(月) 22:29:05.48 ID:fgPuuHCt.net

各R試験の前後で揺らぎ計測を行い、補正することで確度が向上しました。
コードの一部ですが補正はこんな感じです。
http://pastebin.com/ZiuLsc2Q

66 ：名無しさん＠編集中：2014/12/16(火) 09:46:02.07 ID:KlWQU3W4.net

ECM可変部の機能番号0x52(CheckContractInformation)ってどんな動作なの？

67 ：名無しさん＠編集中：2014/12/16(火) 16:06:27.13 ID:O1jNMJQ9.net

ここの人はなぜこんな専門的な知識や技術を持ってるの？
ただの趣味とは思えないんだが。

68 ：名無しさん＠編集中：2014/12/16(火) 18:23:08.26 ID:LuAxxQDn.net

あとcontract_verification_infoの構造がわからないです

69 ：55：2014/12/17(水) 15:16:54.10 ID:hfVdGNPh.net

うんコム大先生ならそこら辺熟知してるはず。

70 ：再送：2014/12/18(木) 23:37:20.45 ID:33yTTLKI.net

ここの人はなぜこんな専門的な知識や技術を持ってるの？
ただの趣味とは思えないんだが。

71 ：名無しさん＠編集中：2014/12/18(木) 23:41:10.58 ID:RegSLWt4.net

そりゃ専門家だからだろ

72 ：名無しさん＠編集中：2014/12/24(水) 01:10:24.86 ID:urZ97jVP.net

あげ

73 ：名無しさん＠編集中：2014/12/24(水) 06:45:34.42 ID:+JCqjPCH.net

小日本に少しでも経済的打撃を与えようと血道を開けるミンジョク･･･あとは分かるな？

74 ：名無しさん＠編集中：2014/12/24(水) 14:57:33.84 ID:TMqUOsIM.net

湘南乃風　ラジオ番組での発言　　「カラオケで尾崎豊は寒い」

SHA2
sha256RSA
CN = DigiCert SHA2 Extended Validation Server CA

CN = DigiCert High Assurance EV Root CA

おじいさんは山へリバカリに行きました

偽画面はどうなった？

by suexec (16684) on 2012年06月21日 0時09分 (#2177533)
最近の状況が書かれていないので、ポストしておきます。
噂のヤキソバ君が最終パッケージを配布しちゃってます。
ただ、全てパスワードロックされている状態で、どこまで出来るかは不明ですが
ファイル名などから推測するに、暗号は完全に解読されてしまったようです。
ですのでEMM作成も自由自在で、バックドアが無くても書き換え可能になったので
対象カードは全カードです。
暗号方式を変更するしか完全対応出来ない状態になっています。
このパスワード解読ですが逮捕のタイミングと重なり、パスワードを書く行為が
逮捕対象になりそうで、停滞しているようです。
•松コース : 有料放送契約者の B-CAS カードを、EMM・ECM アルゴリズムを変更したものに全交換。
再度クラックされない限り完全な対策となるが、最も費用がかかる。
•竹コース : 極端に長い契約期限を TV 側で受け付けないようにする。 B-CAS 社及び放送局は現状
の運用から変更不要だが、 TV メーカー側の負担大。不正改造側が契約期限を適宜調整するようになると無効。

75 ：名無しさん＠編集中：2014/12/26(金) 10:46:59.21 ID:ogT6NmHC.net

拡大鍵が、http://peace.2ch.net/test/read.cgi/avi/1398985287/949
kmが、http://peace.2ch.net/test/read.cgi/avi/1398985287/951　だとするとサブキーは、
SUBKEY_1:69627484　SUBKEY_2:457a05e9　SUBKEY_3:35f1711e　SUBKEY_4:ec2b9757　となるよね。
ところがSUBKEY_1は簡単に出るのだけれど、SUBKEY_2がなかなか出ない。
2014/12/26 7:16:24.21 SUBKEY_2:b26fd8e9 0,1,0,1,0,0,1,1,0,0,1,0,1,1,0,0,1,0,0,1,0,0,1,0,1,1,0,1,1,0,0,1
2014/12/26 7:38:04.75 SUBKEY_2:14caa5bf 0,1,0,1,1,0,1,1,0,0,1,0,1,1,0,1,1,0,0,1,0,0,1,0,0,1,0,0,1,0,0,1
2014/12/26 7:59:46.88 SUBKEY_2:144b79fd 0,1,0,1,0,0,1,1,0,1,1,0,1,1,0,0,1,0,0,1,0,1,1,0,0,1,0,0,1,0,0,1
2014/12/26 8:20:39.18 SUBKEY_2:48f93f42 0,0,0,1,0,0,1,0,0,1,0,1,1,0,1,1,0,1,1,0,1,1,0,0,1,0,0,1,0,0,0,0
2014/12/26 9:04:11.20 SUBKEY_2:366da96f 1,0,0,1,0,0,1,0,0,1,0,1,1,0,1,1,0,1,1,0,1,1,0,0,1,1,0,1,0,0,0,0
てか、fpが安定して取れねー。

76 ：名無しさん＠編集中：2014/12/26(金) 13:39:55.27 ID:6JOpIrGA.net

リトルエンディアンでSUBKEY_xに 突っ込んでるからじゃね
複数のSUBKEY候補が出てきた時に両方でそれぞれ次のラウンドのfp取ってみると
ハズレのSUBKEYだと所要時間の差がでなくなるので、間違ってることがわかるよ
T422で193.8ms<->193.45ms とかの差がでてるのが 193.6ms前後で見分けつかなくなる

ってそもそも自分のカードと関係ない拡大鍵で試して意味あるのか？

77 ：名無しさん＠編集中：2014/12/26(金) 13:54:58.12 ID:wsB6ANza.net

ウンコむ

78 ：名無しさん＠編集中：2014/12/27(土) 11:35:06.93 ID:J7kocTUy.net

>>75
実験しているカードのkmは書き換えたので[46 48 0F 58 68 CF A1 37]これになってます。
｢e0.cppコンパイル&実行 → その結果をt.hのSUBKEY_1に反映｣となっていたので、
found:69627484 → SUBKEY_1 0x69627484　とそのまま入れたのですが間違えてますか？
あ、もしかしてまだBlockCipher()が間違えているのだろうか？

79 ：名無しさん＠編集中：2014/12/27(土) 11:49:01.47 ID:J7kocTUy.net

あ、アンカーミスった。
>>78は、>>76さんへのレスです。すみません。

80 ：名無しさん＠編集中：2014/12/27(土) 13:11:54.38 ID:P2mcmx8G.net

使ってるソースが違うっぽいのでわからんけど たぶん間違ってない
BlockCipher()の間違いとかfpの入力間違いとかなんだろうね
バイトオーダー周りでごちゃごちゃしてるから..

81 ：名無しさん＠編集中：2014/12/27(土) 19:11:04.58 ID:B6TZIatO.net

BlockCipher()はリトルエンディアンベースの処理ですが、round00()はビッグエンディアンで扱ってるので、
普通のPCでround00()を使う場合は、サブキーのバイトオーダーはちゃんと考慮しないといけませんね
＃RとLは適当な値なので、これらに関しては実機測定時とエミュで同じ使い方をしている限りは問題無いですが…

この違いはBlockCipher()がround00()よりだいぶ遅い理由の一つでもありますね
もっとも、ラウンド関数の速度が重要と言う程になるのはエミュ回す時くらいでしょうけども

82 ：名無しさん＠編集中：2015/01/01(木) 00:14:23.43 ID:wAaPqxhM.net

お前あら転載過ぎて俺にはついていけないよ

83 ：名無しさん＠編集中：2015/01/01(木) 18:01:47.29 ID:3OxHlJJN.net

2015年になりテレビ東京が見られるのも後3ヶ月になりました

84 ：名無しさん＠編集中：2015/01/01(木) 20:12:05.66 ID:zTAzCWg9.net

アナロジスティックですな

85 ：名無しさん＠編集中：2015/01/02(金) 14:00:59.82 ID:IJ6vDe+N.net

>>83
関東に引っ越せよ。

86 ：名無しさん＠編集中：2015/01/02(金) 14:38:15.40 ID:/t/Vzssv.net

場所とかじゃなくて
ただ単にデジアナ変換が3月で終了するから
見られなくなるって言ってるんじゃないの？

87 ：名無しさん＠編集中：2015/01/02(金) 15:52:13.92 ID:9t48qtcY.net

難視聴対策だ。

88 ：名無しさん＠編集中：2015/01/02(金) 18:24:36.00 ID:G5OkI+fg.net

>>87
難視聴の地区は解消されたの？

89 ：名無しさん＠編集中：2015/01/04(日) 14:57:01.99 ID:8wA90Ezb.net

政府「引越しする時間は充分に与えた」

90 ：名無しさん＠編集中：2015/01/04(日) 15:10:59.16 ID:KC+VP6U+.net

テレビ見なくなるだけやね
もしくはひかりTVか

91 ：名無しさん＠編集中：2015/01/09(金) 02:26:52.96 ID:Ddw5hfTP.net

灼き蕎麦は届きましたか？

92 ：名無しさん＠編集中：2015/01/18(日) 23:54:19.83 ID:e5shtRHa.net

>>89
まだ金を貰ってないが

93 ：名無しさん＠編集中：2015/01/19(月) 19:24:46.10 ID:1Xg8R1Ji.net

君のテレビを見ると言う趣味に
なぜ政府が金を払わなくてはならんのかね？

94 ：名無しさん＠編集中：2015/01/19(月) 22:28:27.27 ID:+u0MzqUk.net

ここは乞食スレなんだ
身の程知らずのスレ違いは書き込むな

95 ：名無しさん＠編集中：2015/01/22(木) 02:48:13.18 ID:U4JAayPa.net

今年１度もスレに関係した書き込みないがどーなった？

96 ：名無しさん＠編集中：2015/01/22(木) 07:24:49.51 ID:MDwqb6IM.net

EMMの暗号文に対する攻撃とかどうでしょうか
EMMを蓄積して攻撃し対象カードのKmを割るとか面白そうじゃないですか

97 ：名無しさん＠編集中：2015/01/22(木) 07:52:18.07 ID:H9zTvjPg.net

Kmなら前スレでｔくぁwせdrftgyふじこlp

98 ：名無しさん＠編集中：2015/01/22(木) 08:13:13.95 ID:MDwqb6IM.net

今まで出てたサイドチャネル攻撃ではなく
暗号文自体に対して攻撃するということですよ

99 ：名無しさん＠編集中：2015/01/24(土) 00:34:43.82 ID:+YGlmOBm.net

>>98
で、具体的にアルゴリズムのどの部分に問題があると思ってて、どんな方法での攻撃を考えてんのよ
そこに関して何かアイデアがあるわけじゃなくて、EMMたくさん集めたら何かできそうじゃね？みたいな話なら、
中学生の妄想と変わらんのだが

100 ：名無しさん＠編集中：2015/01/24(土) 03:44:08.47 ID:HJkp0tyI.net

EMMの暗号文の初めの事業体識別は既知で更新番号も予測できるので攻撃できるのではないかと思いました
なにせアルゴリズムがガバガバなので