対策基板「TA-088 V3」DAX氏解析報告 | あまえび速報

対策基板「TA-088 V3」DAX氏解析報告

「TA-088 V3」が、まだハックできないのは何故か?






51e6efa4.jpg






長い沈黙を破ってフォーラムを再開したDark-Alex氏ですが、やっぱりたんに引きこもっていた

訳ではなく、コツコツと難航不落の対策基板「TA-088 V3」の攻略に挑んでいたようです。

お疲れ様です。( ´・ω・)y─┛~~~oΟ◯



「Dark-Alex forum」   ・・・→  (`・ω・´)ポチ



情報くれたLIGHTさん。ありがとうございました。(`・ω・´)


そんな彼が今回、ここまでに判ったことをまとめて、かなり具体的なコメントを出しました。



発売までに後2週間を切ったPSP-3000に乗る可能性もあるこの対策基板を、天才ハッカーは

どこまで裸にしたのでしょうか?



注目です。(`・ω・´)





60dcf877.jpg








「TA-088 V3」が、まだハックできないのは何故か?




これは「TA-088 v3」基板で追加され、また「PSP-3000」の基板でも適用される

かも知れない、新しい対策セキュリティ関する説明です。



PSPがブートするとき、ブートコード(別名プレiplまたはiplローダー)はnandか

メモリースティックから「IPL」をロードします。

「IPL」は、0x1000バイトの部分に分けられます。



各ブロックが妨げる最初の「0xA0」バイトは、KIRKハードウェアコマンド1のヘッダーです。

それは、各プログラムキーを含みます。



暗号データのサイズと2つのハッシュ(ある程度ヘッダ自体のための1と本体のための別のもの)

「0xF60」バイトは暗号化されたプログラム本体が記録されており、ハッシュ値がOKであるならば、

この部分を複合化したときのサイズも「0xF60」バイトであると解読します。

(暗号化された本体は、0xF60より少ない場合、残りのバイトは無視されます)



対策前の基板では、ここをタイミング攻撃することで、KIRKハッシュのセキュリティを破壊して、

IPLのプロテクトを無防備にすることが可能でした。



ということは、この対策基板でSONYはいったい何をしたのでしょう?





答えは 4.00以降のシンプルになった「IPL」で見つけました。



各 IPL ブロック (オフセット値は 0xFE0) の最後の「0x20」バイトを削り、暗号化されたプログラム

本体のサイズを「0xF40」バイトに削っています。



先ほども言ったように、対策前の基板では残りのバイトが無視されるここを、タイミング攻撃する

ことで、KIRKハッシュのセキュリティを破壊して、IPLのプロテクトを無防備にすることが可能

でしたが、最新の対策基板(TA-088 v3基板)では、この無視されるべき残りの「0x20」バイトにも

意味があるのです。



最初の「0x10」バイトは、複合化されたブロックの一部から計算されたハッシュですが、

どの部分のハッシュなのかは未知のものです。



4.01と4.05でこの「0x10」バイトのブロックを比較すると、多くのブロックが共通していることが

わかります。

暗号化されたブロックのハッシュが同じであるならば、そのブロックを複合化すれば内容は同じに

なるはずです。しかし、実際は複合化後の内容は全く異なります。



つまり、複合化後のブロックの一部から計算されたハッシュであり、暗号化後のハッシュではない

と思われます。





2a2a3301.jpg








「0x10」バイトは、複合化後の本体で依存しているようでもあります。



下図で、彼らが4.01と4.05で内容が異なることがわかります。



724537d2.jpg






しかし、この内容は実は交換することが可能です。



つまり「0x10」バイトの内容を 4.05 の「IPL」から抜き取り、4.01 の「IPL」に動かすことは

できます。ブート(起動)もできます。



しかしながら、IPLプロテクトを無効化することはできませんでした。





このプロテクトは4.00以下のファームウェアにさせる、どんな可能性も許しません。



新しいCPUの本体では、4.00以下のファームウェアのIPLで起動することが不可能です。





基本的に最新pspのcpuのセキュリティ全てが、「0x20」バイトの秘密に依存していると考えられます。



何らかの方法で「Pre IPL」をどうにか落とせれば(ダンプ可能であれば)、このセキュリティは

突破できるでしょう。





                       ―――――― Dark-Alex







ぶっちゃけ途中から「何言ってるか、ワカンネ」って人、多いと思いますが、

とりあえず完全突破は、まだ難しいということは判ってもらえたと思います。( ´・ω・)y─┛~~~oΟ



そして俺の翻訳がけっこうあやふやなことも…(`・ω・´)


それでも「yet」



「まだ」わかりません。可能性は残っています。(`・ω・´)





ここまで細かく解析できた人間は、世界でも彼くらいでしょう。



今後のDark-Alex氏の、更なる解析に期待しましょう。







お疲れ様でした。



d65a9e40.jpg










コメント

  1.  

    1げttっと

コメントを残す

メールアドレスが公開されることはありません。

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

post date*

アクセスランキング