Поскольку Кі находиться в EPROM прямой доступ к которой из вне невозможен,
нельзя ли перепрошить PIC SIM карты (естественно «убив» ее) каким нибудь загрузсчиком и потом считать инфу из EPROM?
Вариант второй. Я думаю, что V2 победят не скоро и победят ли вообще?
А нельзя ли подобрать Кі программно, зная то случайное число которое послала базовая станция и ответ на него симки. Ведь принцип кодировки известен и даже реализован в прошивке sim emu. Нужно, как я думаю, создать виртуальную симку и менять в ней значение Кі.

нельзя ли перепрошить PIC SIM карты (естественно «убив» ее) каким нибудь загрузсчиком и потом считать инфу из EPROM?
Ну это врятли, так как доступ к фляш'у закрыт
А нельзя ли подобрать Кі программно, зная то случайное число которое послала базовая станция и ответ на него симки.
Когда реализуеш сообщи (шансы есть, если конешно руки прямые и времени уйма).

По поводу программного подбора. Как то я уже подобную мысль высказывал. Можешь потратить пару минут, посмотреть сколько времени на это понадобится. Исходные данные: 1 млн. циклов алгоритма a3a8 на моём п4 1.4 ГГц выполняется примерно 89-90 сек (наверное можно и быстрее, если переписать алгоритм на асме), вариантов Ки кода 2^128. Разделив одно на другое можно узнать, сколько времени понадобится, что бы увидеть, какие Ki будут давать соответствующий SRES при заданном RAND'е. Время для полного перебора получится дай боже. Тут imho даже закон Мура нам ничего хорошего в ближайшие лет 100 не сулит. И всё это при условии, что алгоритм генерации отклика известен.

:shock: Блин! Какой PIC? Какой флеш? Там совсем другая НАЧИНКА :!:
и даже своя ось.

В каждой карте своя начинка - например, мне попадались карты с начинкой на secureAVR (90SC). Там от 32-х до 64-х К флэша + столько же EEPROM-а + от 1.5 до 2.5 К ОЗУ. У флэша выставлен бит "фиг считаешь", а у EEPROM-а есть область в 128 байт с названием OTP (One Time Programmable), на которой тоже выставлен бит "фиг считаешь". Догадайтесь, что хранится в этих 128-ми байтах ;-)

Какие будут идеи?

если вы получите карту с comp128V2 без счетчика перерегистраций => то путем перебора всех комбинаций Ki можно вычислить => с той же картой попытаться определить работу алгоритма (SRES+Ki уже будут известны) => проверить правильность определенного алгоритма

если вы получите карту с comp128V2 без счетчика перерегистраций
..Если на Луне живут лягушки.. впрочем, это - нормальное допущение, а вдруг - и вправду живут? :P

=> то путем перебора всех комбинаций Ki можно вычислить
200 лет
=> с той же картой попытаться определить работу алгоритма (SRES+Ki уже будут известны) => проверить правильность определенного алгоритма
еще 20000 лет.

Вот где её родимую взять то...
А может у братьев китайцев. Типа мультисим, где вносятся тока KI+IMSI или германская, не помню, как называется, вроде супер-пупер GSM. Слышал, что там зашит алго v2, правда сам не проверял, трепаться не буду.
Ну а насчет кол-ва переборов, так я думаю, что все мы дружно предоставим свои компы для распределенного вычисления, а результаты в одну точку, челу, который в этом хорошо разбирается.

Ага, ребят из Seti@Home заюзаем - там 5000000 компов...

По-поводу карты без лимита - у меня есть 3 штуки UMC, одну я промучал уже 2.5 млн циклов - жива... ;-)

Ага, ребят из Seti@Home заюзаем - там 5000000 компов...
Не 5 млн компов - а более 5 млн участников, среди них - где-то 2/3 (по статистике PolarSeti) - дохлые, но у остальных далеко не по одному компу.

Пиши сервер под BOINC. Клиента писать - нечего. Но желательно с учетом, что не все компьютеры - имеют доступ в Инет. Когда SETI-классика помрет (обещают что вот-вот), я отойду от поиска человечков - у меня 10 компов трудятся, но только два в онлайне, остальное - флоппинет.

При чем тут это? Симка то будет ОДНА, и скорость перебора зависит от того, на какой скорости может карта работать - максимум 14мГц.
Нетъ (c)
Перебор идет на комповых реализациях А38 с тем же RAND, что и на пробном с симкой. скажем, 00h (00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00), найдется кучка кандидатов на Ki (SRES'ы совпали) - среди них уже ищется совпадение для RAND=01h и т.д.

Т.е. в отличие от SETI@Home высылается только диапазон Ki и SRES, обратно - только KI-кандидаты. Самое противное - что при взломе следующего Ki все те же вычисления должны быть повторены еще раз, ибо негде хранить намоленное, в смысле - насчитанное.

Симка то будет ОДНА...
В томто и дело, что если запихнуть одно и тоже Ки в буржуйские пустышки с прописанным в2, и раздать юзерам, каждый будет сканить часть одной симки. Ну есно, что каждый приобретет себе эту карту за свои кровные, т.е. с каждого по копейке для общего дела.

Симка то будет ОДНА...
В томто и дело, что если запихнуть одно и тоже Ки в буржуйские пустышки с прописанным в2, и раздать юзерам, каждый будет сканить часть одной симки. Ну есно, что каждый приобретет себе эту карту за свои кровные, т.е. с каждого по копейке для общего дела.
Что-то я вашей с банщиком логики не понимаю. Какую задачу решаете? Чую что не ту, что описал GSMuser.

..спустя 10+ минут..
А, понял - это я фигню пишу.
Вы про v2, а я все про свое, про девичье.. "v1 из неколлизионок"

8) что ж ,как ни крути ,а чтобы вычислить алгоритм работы comp128V2 все равно кроме карты нужен ее нaстоящий Ki...

БАНщику - нет, не уверен (что v2), но как v1 - не берется, как неколлизионки - тоже не берется, а на v3 не похоже (10 нулей вконце)...

По поводу СетейАтХоуме - я тоже не люблю BOINC - у меня куча компов трудятся, но в онлайне из них один... Остальные - через него, как через прокси.

Вопрос номер 2.
Ктонить, кто в форуме часто обитает, юзал эти заморские симки, пробовал ли сканить, отдалась или нет :?:

Я так понимаю у Лайфа как раз тот 128 v 2 .Попробовал Ворон сканом
The GSM algorithm is not comp128-1 ...Scanning stoped... Не красиво ка-то получается ,это ж симки переставлять .. Тут вот мысля проскочила ,если собрать прослушивалку обмена между тел и симомом ,мож что полезное из кучи байтиков обмена и можна выловить ?

Разясняю ситуацыю особо одаренным, автором этой темы было предложено 2 варианта подбора KI,
Nr.1 Это он с бадуна ляпнул неподумав
Nr.2 А это уже похмелившись в голове сгенерировалась неплохая мысля: подобрать Кі программно, зная то случайное число которое послала базовая станция и ответ на него симки. Ведь принцип кодировки известен и даже реализован в прошивке sim emu. Нужно, как я думаю, создать виртуальную симку и менять в ней значение Кі.

А некоторые тут о каких то:
буржуйские пустышки

Тоесть суть заключяется :
Перебор на комповых реализациях А38 с тем же RAND
НЕНАДО сканить SIM.

бляяяя .... xxxx, почитай 3-й или 4-й пост с начала этого обсуждения. мысль у тебя, конечно, неплохая. Только пользоваться такой симкой будут твои потомки. дальние. очень.

P.S. будь я модератором, закрыл бы тему. имхо переливание из пустого в порожнее.

P.P.S Для тех кто в танке:
Вариантов KI кода - 2^128, что есть примерно 3.4e38
1 млн. циклов алгоритма а3а8 на п4 1.4 ггц выполняется около 90 сек.
Отсюда имеем, что для полного перебора понадобится 3.4е38 * 90 / 1е6 = 3.06е34 секунд, что есть 3.5е29 дней ну и думаю, что это будет слишком дофига лет. Еще вопросы будут? :wink:

Многие из вас, наверное, убили ни одну карту с Comp128 v2, пытаясь ее сканировать. Так вот, этого можно довольно просто избежать. Алгоритм Comp128 v2 очень сильно отличается от Comp128 изначального разлива. Покрайней мере это так для московского Мегафона. Динамика потребления тока картой тоже заметно отличается. Достаточно включить между ридером и земляным проводом карты резистор 5 - 100 Ом и подключить к нему усилитель (если резистор ближе к сотне Ом, то пойдет даже дедушкин ламповый магнитофон ;-). Запустив сканирование вы услышите характерный звук, так вот для карт v2 он будет заметно отличаться. Внимание надо обращать на тихий шелест/писк, а не на громкий треск. Треск создается значительной нагрузкой при обмене с ридером и информации не несет. Если собираетесь только слушать, а не цифровать, то резюк можно выбрать номиналом побольше (но больше 100 Ом может уже карта не запустится). Частоту кварца лучше для данного эксперимента максимально низкую. Спасибо за внимание ;-)

Многие из вас, наверное, убили ни одну карту с Comp128 v2, пытаясь ее сканировать. Так вот, этого можно довольно просто избежать.
Запомним эту простоту избегания.

Алгоритм Comp128 v2 очень сильно отличается от Comp128 изначального разлива. Покрайней мере это так для московского Мегафона. Динамика потребления тока картой тоже заметно отличается. Достаточно включить между ридером и земляным проводом карты резистор 5 - 100 Ом и подключить к нему усилитель (если резистор ближе к сотне Ом, то пойдет даже дедушкин ламповый магнитофон ;-). Запустив сканирование вы услышите характерный звук, так вот для карт v2 он будет заметно отличаться. Внимание надо обращать на тихий шелест/писк, а не на громкий треск. Треск создается значительной нагрузкой при обмене с ридером и информации не несет. Если собираетесь только слушать, а не цифровать, то резюк можно выбрать номиналом побольше (но больше 100 Ом может уже карта не запустится). Частоту кварца лучше для данного эксперимента максимально низкую. Спасибо за внимание ;-)
Можно еще и фильм снять (сгодится дедушкина 8-мм камера, если цифровать не собираетесь, а чиста шоб посмотреть потом), но что именно позволит просто избежать убийство карты при сканировании - осталось за кадром этого захватывающего повествования.

Достаточно включить между ридером и земляным проводом
А что ридер это тоже провод?

Запустив сканирование
О каком сканировании идет речь, ведь сушесвующие проги более неприменимы?О чем именно идет речь теперь?

Внимание надо обращать на тихий шелест/писк, а не на громкий треск

Опять непонятки .... о чем должен свидетельсвовать тихий писк?

Сразу хотел удалить эту галиматью, но дело было ночью поэтому решил что может быть со мной не порядок и поэтому не понял сути сообщения, и оставил.

Поддержу SE-Flasher (а), по поводу того, что Ki из карты в2 можно, я думаю, использовать с текущим EMU. А почему нет? На мой взгляд, его структура такая же, как у в1, и чипы в симках одинаковые, и кодирование запроса базовой станции происходит также. Разница в ПРОШИВКАХ контролера.

Поддержу SE-Flasher (а)... чипы в симках одинаковые...
О чём тут говорить.. :D

О чём тут говорить.. :D
kest сказал не бред (не совсем бред) только в одном случае: если v2 на самом деле v1, просто все пары - неколлизионки.

Yurke- У Лайфа и у Моби, насколько я понимаю, какойто свой прикол(прошивка контролера), которую Ворон просто не сканит. v2 Ворон сканить все же "пытается".

Собрал phoenix у которого земляной провод карты подключен через резистор. К резистору подключил инструментальный усилитель. Выход усилителя на ЦАП. Далее запускаем карту на 1200 baud. Делаем один раз RUN GSM ALGORITHM и видим как на ладони что у нас происходит в карте. В МТС, Билайн московском прекрасно видно всю чтруктуру алгоритма Comp128. В Мегафоне видно структуру алгоритма весьма отличного от него. Далее послушал что происходит на выходе усилителя, подключив его к колонкам. Слышен характерный звук Comp128. Так вот где алгоритм другой и звук другой. Это все что я хотел сказать.

Вот так выглядит Comp128. Прекрасно видно восемь раундов и формирование SRES+Kc.

Алгоритм неоднородный в отличие от Comp128, состоит как минимум из пяти различных стадий. Ближе к кону восемь циклов по восемь, но если увеличить, видно что они совсем не похожи на раунды Comp128. Что это - Comp128 v2 или еще что сказать не могу, но не Comp128 это точно.

Теперь ваша душенька довольна ?
Удалять не будете ? Хотя вобщемто мне без разницы :-)

prcoder Да говори что хочешь и показывай что хочешь, никто удалять не будет. Просто бывает приходят сюда люди разные, иногда надо разобраться что к чему и что они пытаются показать.

P.S. Такого подхода как у тебя не было раньше, интересно к чему это может привести.

НЕ поможет ли для работы над v2 возможность кучу телетушек поиметь.
У меня доступ к картам есть по 1 руб за штуку.

Слышал что в Омске до 20 процентов карт открывают сканируя
Реально ли это?

Хмммм, интересно было бы еще посмотреть, как зависит форма сигнала на первой картинке от значений Ki и RAND.

Хмммм, интересно было бы еще посмотреть, как зависит форма сигнала на первой картинке от значений Ki и RAND.
Нмда.. Функция определена в квадрате [0;2^128] [0;2^128].. Мне вот интересно, сколь квинтильонов сиксильонов значений достаточно твоей интуиции для того чтоб просечь "как зависит" в том случае если достоверно можно утверждать что таки зависит, т.е. зависимость не тривиальна ("не зависит")
8)

Глубоко копаешь ... Есть такая вещь, как человеческое любопытство. Мне просто интересно посмотреть. Буду я пытаться уловить закономерность или не буду - это моё личное, сугубо интимное, дело. Вероятнее всего, что не буду, т.к. ни достаточным объёмом знаний в этой тематике, ни временем на их получение не обладаю. А на твоём месте, я бы помолчал, коль уж по делу в данном конкретном случае тебе сказать нечего.

Многие из вас, наверное, убили ни одну карту с Comp128 v2, пытаясь ее сканировать. Так вот, этого можно довольно просто избежать. Алгоритм Comp128 v2 очень сильно отличается от Comp128 изначального разлива. Покрайней мере это так для московского Мегафона. Динамика потребления тока картой тоже заметно отличается. Достаточно включить между ридером и земляным проводом карты резистор 5 - 100 Ом и подключить к нему усилитель (если резистор ближе к сотне Ом, то пойдет даже дедушкин ламповый магнитофон ;-). Запустив сканирование вы услышите характерный звук, так вот для карт v2 он будет заметно отличаться. Внимание надо обращать на тихий шелест/писк, а не на громкий треск. Треск создается значительной нагрузкой при обмене с ридером и информации не несет. Если собираетесь только слушать, а не цифровать, то резюк можно выбрать номиналом побольше (но больше 100 Ом может уже карта не запустится). Частоту кварца лучше для данного эксперимента максимально низкую. Спасибо за внимание ;-)

Молодец!
Это и есть SPA (Simple Power Analisys).
Какая частота дескретизации была и какой АЦП? И скорее ты АЦП подключал на выход усилка, а не ЦАП ;)
Что значит "инструментальный"? Обычный усилитель звуковой частоты? Если это так, то можно использовать проги, которые делают из РС осциллограф и используют звуковую карту.

Хмммм, интересно было бы еще посмотреть, как зависит форма сигнала на первой картинке от значений Ki и RAND.

Форма должна зависить, но:
1) Она зависит, если эта разница не результат наложения шума, который специально генерируется картой для предотвращения атак такого рода. Похоже, что это не так...
2) Зависеть будет только от RAND, так как в конкретном случае Ki для данной карты будет всегда один и тот же.

Если почитать о DPA, то можно продолжить дальнейшие исследования. Жаль только, что у меня нет такой аппаратуры :(
Если хватит прог на основе звуковых карт, то это будет классно, хотя врядли, так как дескретности может и не хватить и будут утеряны отдельные пики осциллограммы, хотя частота при этом (допустим) будет под силу звуковой карте. В одной из статей люди использовали выборку для дескретизации до 1 Гигасэмпла/с.

nuken, что такое SPA и DPA я прекрасно знаю. Мало того, скажу по секрету, что любую пару из карты comp128 я могу вынуть меньше чем за 256 запросов. Хотя IBM-овцы утверждают что можно вообще за десятки запросов вынуть весь ключ. Такчто есть куда развиваться. А вот DPA штука интересная. С ее помощью можно вытащить как алгоритм, так и сам ключ. Да, конечно, я АЦП подключал, не придирайся к словам. Времени проверять ошибки нету, делом заниматься надо ;-)
Инструментальный усилитель это деталька такая (из нескольких операционных состоит). Карту звуковую использовать реально, большой разрядности особо не нужно, а вот частоты дискретизации нехватает несколько. Но это можно решить снижением тактовой самой карты, хотя многие ниже 1200 не запускаются.

Итак что мы видим по новому алгоритму. А видим мы следующее. Что алго похоже состоит из четырех последовательных стадий. Первые 16 повторений это просто ввод RAND, последняя - вывод SW1,SW2. Странно то что алгоритм похоже не раундовый. Тоесть не похоже что это сеть Файстеля или подстановочно-перестановочный алгоритм как Comp128. Хотя возможно что 8 операций ближе к концу и есть раунды, а все предыдущее их подготовка.

Глубоко копаешь ... Есть такая вещь, как человеческое любопытство. Мне просто интересно посмотреть.
Ну так и посмотри. За чем дело стало? Разумеется, все будут разные - в митре нет двух одинаковых электронов, как подметил некто В.И.Ленин, разумеется, графики будут отличаться. Установить характер этих отличий (вызваны они погрешностью установки или изменением RAND) - дело огромной статистической работы, какой-нибудь сотней другой картинок не обойтись, да и такой объем публиковать тут - нецелесообразно.

Правильно поставленный вопрос - почти половина ответа. Твои же "интересно посмотреть", опубликованные в форуме - откровенно неправильная постановка.

Буду я пытаться уловить закономерность или не буду - это моё личное, сугубо интимное, дело.
В таком случае, шел бы ты заниматься этим сугубо интимным ментальным онанизмом в более подходящее место.

Вероятнее всего, что не буду, т.к. ни достаточным объёмом знаний в этой тематике, ни временем на их получение не обладаю. А на твоём месте, я бы помолчал, коль уж по делу в данном конкретном случае тебе сказать нечего.
Ты - не на моем месте, поэтому что бы ты делал - не шибко интересно ни мне, ни другим. http://www.kievsat.com/phpBBpl/images/icon/icon13.gif

Может я что-то делаю не так, но картинка Мегафона у меня получилась несколько иной...

Кстати, Silver на том же v1 дает совершенно другой результат
т.е. достаточно сменить процессор, а может даже только программное обеспечение (не версию A38) и мы увидим уже другую картинку?

Слышал что в Омске до 20 процентов карт открывают сканируя
Реально ли это?
Я в Омске. И что-то про вскрытие T2 я не слышал, хотя отслеживаю локальные сотовые форумы и общаюсь с народом, занимающимся мультисимками.

Мало того, скажу по секрету, что любую пару из карты comp128 я могу вынуть меньше чем за 256 запросов.


Я тоже скажу по секрету что открываю comp128-2 менее чем за 10 запросов.... А comp128-1 открываю даже не тратя запросов...

Чем мое утверждение хуже вашего?

2 -Svn-: Да, чего-то на BeeLine и Silver картинка странноватая. Silver я еще не пробовал, попробую на днях, а вот Bee явно что-то не то. Вообще у меня для всех карт с Comp128v1 получается похожая картинка, только вот параметры надо подбирать, усиление, фильтр.
На мегафоне все похоже, только надо бы после усилителя hi-pass фильтр поставить, чтобы картинка на прямую ложилась. Еще совет - смотреть удобнее представление логарифмическое, а не линейное.

Angelex: Ну скажем так, менее чем за 2048. Тоесть на пару по 256 запросов, но если уже нашли ее то сканить дальше нет смысла. неколлизионки никак не влияют, принуип здесь другой. Я смотрю к какой половине первой таблицы идет обращение. первая таблица состоит из 512 байт, а процессор в карте восьмибитный и ему к ней обращаться неудобно, что удобно нам :-)

2 Ворон: Да ничем. Можно на ты ? Хочешь верь, хочешь нет. Мне пофиг :-) Будет готовая программа, сам проверишь. Только железо под нее надо будет немного посложнее обычного ридера. Наибольшая проблема состоит в том, что трудно сделать универсальное железо, под каждую модель карты приходится подбирать параметры деталей, но думаю это можно будет автоматизировать с помощью микроконтроллера. Кстати метод поиска я не сам придумал, его придумали головастые мужики из IBM, за что им спасибо :-) Не веришь мне, может они тебя убедят :-)))

Да, кстати, всем неверующим. Вот очень подробное описание этой технологии. Они ее называют partitioning attack.

http://www.research.ibm.com/intsec/gsm.ps

2 Angelex:
Детали добавятся. Резистор по питанию карты, инст.усилитель, возможно микроконтроллер, немного рассыпухи и провод еще один будет в звуковую карту.

Не очень понял про звучание пар. Но боюсь что звучание пары мозг человека уловит не способен. Максимум отличить можно разные алгоритмы.

Схему подключения приложи, что бы всем понятно
было...

Чёт забыли наверно? Может хоть фотку?

Вот как выглядит картинка для Джинса.

2 lord290: Вот, пожалуйста фотка. Схему прикладывать нет смысла, потому как она еще не закончена и меняется сто раз на дню. Многое зависит от конкретной карты, да и фильтры оптимальные я еще не придумал.

prcoder, вспомнил, как я собирал таким образом схемы.
В навесе все работает, как только перепаял на протравленную плату - ничего не работает. :roll:

По поводу частоты дискретизации и разрядности АЦП. И то и другое при невозможности менять железо можно повышать математически используя повторные измерения, но это, конечно лишние запросы к карте. Хотя для выявления алгоритма этим можно принебречь, а в варианте поиска Ki много запросов наверное не понадобится.

2 Vitamin: Конечно. там на плате все проводами утыкано длинными, емкости паразитные, земля снизу может подложена. Генератор запускаться будет лучше :-) Хотя можно и просто на печатку не все перенести ;-)

Да, кстати, всем неверующим. Вот очень подробное описание этой технологии. Они ее называют partitioning attack.

http://www.research.ibm.com/intsec/gsm.ps

Чем открыть то документ?

Ну может они ее конечно и придумали, а вот насчет внедрили - не уверен. Ключ с карты Би добывается без проблем простым SPA. Какую защиту ты имеешь ввиду ? Питание поочередно через конденсаторы ? Там его нет, иначе бы вообще картинка такая не получалась. Маскирование всех данных случайной маской ? Да похоже тоже нету, да и пофиг, всеравно проверяем обращение к таблице. Зашумления питания тоже не видно, да и не проблема это, даже если бы было.
Кстати алго всегда выглядит одинаково. Проблема в том что на картинку влияет много других параметров. Собственно из-за чего схему универсальную сделать трудно. Но если все настройки правильные, то v1 покрайней мере, выглядит всегда похоже. Про v2 пока не говорю - мало данных.

2 hex: Кстати над микроскопом я подумаю ;-) Очень интересные работы Сергея Скоробогатова (МИФИ закончил, теперь за границей работает) по полу-инвазивным техникам. Тоесть Нужно только вскрыть эпоксидный корпус, а пассивирующий слой трогать не нужно, никаких микрощупов и т.д. Самое дорогое - микроскоп. Но это занятие доволно времяемкое и требует определенных навыков. Такчто пока SPA,DPA, clock и power glitch нам помогут :-)

Что значит карта подверженная power glitch ? Power glitch это просто правильно расчитаный сбой по питаню, также как clock glitch - сбой по тактированию. Любая карта так или иначе на это реагирует. Конденсаторов большой емкости внутри чипа быть не может, других источников - тоже. Такчто все подвержены, только надо уметь этим воспользоваться. Теоретики мы все хорошие, на чужих примерах. Давайте лучше делиться практическими наработками.

Да, в МТС действительно оказлись некоторые меры защиты и картинка другая. Но это не смертельно. Достаточное количество информации всеравно попадает наружу. Однако радует, что похоже в картах мегафона этой защиты нету (хотя может они там что-то тоже предусмотрели, но на вид пока не заметно), что нам собственно и нужно.

В первом приближении мы видим вот что:

Стадия 1. Выполняется 2 раза цикл по 24 операции. Каждая операция
состоит из 2 различных стадий.

Стадия 2. 3 раза выполняется какая-то длительная энергоемкая операция (возможно чтение EEPROM). Причем в первый раз происходит заметная утечка информации. Тоесть скорее всего 1 + 2 байта.

Стадия 3. Похоже происходит подготовка 2 байтов и запись их в EEPROM.

Стадия 4. 8 раз выполняется 5-ти картный цикл какой-то операции и
заключающее этот цикл действие.

Стадия 5. Похоже на формирование выхода и обнуление последних 10 бит.

Это что удалось увидеть SPA. Дальше будем исследовать влияние различных битов RAND на работу алгоритма.

Вобщем похоже что алгоритм это стадии 4 и 5. Вообще восемь раундов по пять кое что напоминают ;-) А еще после ресета карта делает 128 действий похожих на то что делается на стадии 1. Наверное это какая-то подготовка битов ключа. Вобщем походу хоть и шумит оно по-другому, а от v1 отличается не так сильно, как казалось с начала :-)

Да, ходил. Пока ничего нового для себя не открыл. А книжки и документы которые попадаются я давно уже перечитал :-)

hex: Все равно спасибо. Я пока верю что DPA может многое. Только вот там очень крополивая реализация нужна, такчто придется повозиться.

Вот первое отличие уже нашлось. Выполняется перестановка и после восьмого раунда. Тоесть в алгоритме нету
if (i < 7) { // Permutation but not on the last loop

Я смотрю к какой половине первой таблицы идет обращение. первая таблица состоит из 512 байт, а процессор в карте восьмибитный и ему к ней обращаться неудобно
Это смотря как реализовано. Например хилому 8-ми битному Пику
не надо обращаться ко второй половине первой таблицы.
(в емуляторе она просто отсутствует)
Взгляни на нее внимательней, вторая половина – копия первой,
с одной оговоркой: четные байты на месте нечетных, и наоборот.
Таким образом, для индексации достаточно определить
был ли перенос при вычислении индекса, если да, то просто инвертируется младший бит.

Тогда эту операцию (перестановку четный-нечетный) можно будет увидеть даже при помощи SPA.
Скоро будут новые картинки, гораздо более интересные.

Тогда эту операцию (перестановку четный-нечетный
Какую в ж. перестановку? Кто там кого переставляет? Ну, посмотри, наконец, таблицу!
p.s. И исходить надо из того, что в v2 устранен главный недостаток: слабое перемешивание входного потока.

Вот так, например, выглядит один раунд шифрования.

PIC-ador: Да, про таблицу ты прав, я просто не сразу понял о чем ты. Но вот на билайновской карте оно почему-то работает, там даже на SPA видны различия первой половины и второй. Правда карта довольно старая, сейчас может и не так. Кстати в нынешней конструкции и 12F675 нашлось применение ;-)

Но вот на билайновской карте оно почему-то работает, там даже на SPA видны различия первой половины и второй.
Я ж и говорю, ...смотря как реализовано.

Проделал нечто подобное, только:
1) Резситор можно ставить до 1,2 кОм
2) Не применял ни фильтры ни усилители, поэтому видно только как идут байты к/от карты. Остальное скрыто помехами. Может питать ридер от батарейки на 9В?
3) Снимал с резистора напругу и пускал сразу на линейный саунд карты. Писал Sound Forge.

Буду пробовать вариант с батарейкой, чтобы снизить помехи, и делать усилок...

nuken:
1) Резситор можно ставить до 1,2 кОм
Смелое утверждение :-) Я думаю максимальное значение зависит от карты. Но всеже чем значение больше, тем больше нелинейные искажнеия, такчто думаю что надо использовать максимально низкое сопротивление. У меня стоит резистор 4,7 Ом.

2) Не применял ни фильтры ни усилители, поэтому видно только как идут байты к/от карты. Остальное скрыто помехами. Может питать ридер от батарейки на 9В?

Надо понять причину помех. У меня питается от б.п. через КРЕН и соотношение сигнал/шум вполне сносное.

3) Снимал с резистора напругу и пускал сразу на линейный саунд карты. Писал Sound Forge.

Тогда уж на микрофонный, а не на линейный. Диапазон линейного входа вообще насколько я помню измеряется в единицах вольт. Это слишком много.

Вот как выглядит один цикл подстановки (один из пяти) и как выглядит цикл перестановки.

PIC-ador: > И исходить надо из того, что в v2 устранен главный недостаток: слабое перемешивание входного потока.

А вот с этим может быть ж. Не нравится мне что новая карта после ресета делает какую-то операцию в 128 стадий. И еще другую (тоже в 128) она делает при вызове 0x88. На картах с v1 такого я не видел, но надо будет еще раз проверить.
Кстати у меня в планах в целях самообразования написать простой эмулятор для 16F877. Вот только пугает то что телефон при включнении делает кучу ненужных действий, поддержку которых придется эмулить. Такчто я учту про инверсию бита ;-)

nuken:
1) Резситор можно ставить до 1,2 кОм
Смелое утверждение :-) Я думаю максимальное значение зависит от карты. Но всеже чем значение больше, тем больше нелинейные искажнеия, такчто думаю что надо использовать максимально низкое сопротивление. У меня стоит резистор 4,7 Ом.

2) Не применял ни фильтры ни усилители, поэтому видно только как идут байты к/от карты. Остальное скрыто помехами. Может питать ридер от батарейки на 9В?

Надо понять причину помех. У меня питается от б.п. через КРЕН и соотношение сигнал/шум вполне сносное.

3) Снимал с резистора напругу и пускал сразу на линейный саунд карты. Писал Sound Forge.

Тогда уж на микрофонный, а не на линейный. Диапазон линейного входа вообще насколько я помню измеряется в единицах вольт. Это слишком много.

1) На счет искажений не спорю.
2) Скорее это не помехи, что-то другое...
3) Амплитуда входного сигнала до 1 - 1,5 В.

Я думаю, что не видно того, что хотелось бы увидеть по двум причинам:
1) Слабая чувствительность линейного входа
2) Малая частота дискретизации

Буду пробовать с микрофонным входом. Результаты выложу.

Как сказал PIC-ador, надо исходить из того что устранен главный недостаток - недостаточное перемешивание на входе в алгоритм. Так вот его, похоже, устранили кардинальным образом. После вызова RUN GSM ALGORHTM, но перед считыванием RAND выполняется 32 раза следующая операция (см. картинку). От RAND эта обработка никак не зависит, похоже что это подготовка к работе Ki. Судя по тому что битов в Ki предположительно 128, то идет работа с нибблами. Очень похожая операция производится над битами RAND сразу после его прочтения, только выполняется она почему-то 48 раз. Что это именно обработка битов RAND я проверил. Видимо производится не просто перемешивание, а еще некоторое размазывание до 192 бит. Не исключено, что далее из них используются только 128. Но это пока предположения...

Жду еще мыслей, идей. может кроме PIC-adorа и nuken-а кто-нибудь присоединится. Или все ждут конечного результата ? ;-)
Woron похоже вообще в эту идею не поверил...

От RAND эта обработка никак не зависит, похоже что это подготовка к работе Ki.
А что если: размазали Кi по всем 32 байтам. Затем по этому же буферу рандом 3 раза?

PIC-ador: Это врядли. Нету там времени столько операций делать. Идет один раз проход по Ki и один раз по Rand. Причем делпется какая-то простенька операция.

Идет один раз проход по Ki и один раз по Rand
за первый проход KI размазали нибблами. За второй сверху ранд.

Angelex: Дык я ее уже дал. В самом начале. Кто по этому описанию собрать не сможет, тот не сможет и наладить схему если я ее нарисую и выложу со всеми номиналами деталей. Там параметры деталей зависят от экземпляра карты, а также от ее тактовой частоты. Тактирование осуществляется PIC-ом и частота в данный момент нестандартная. Если кто всетаки решится делать, задавайте вопросы - посодействую. Как я понял уже два человека попробовали сделать что-то аналогичное и один получил вполне приемлемый результат. Правда пропал. Наверное уже пишет v2 на C ;-)

PIC-ador: Конечно так могли сделать, но этим можно здорово ослабить алгоритм. Причем выявиться это может не сразу. Мне всетаки кажется что ключ используется как и раньше только внутри раундов. Чтобы это проверить надо несколько карт. Может как-нибудь займусь.

Мне всетаки кажется что ключ используется как и раньше только внутри раундов.
Так никто и не спорит. Задача убрать i+8, i+16, ...

В статейке Reducing the Collision Probability of Alleged Comp128
www.gemplus.fr/smart/rd/publications/pdf/HP00comp.pdf
еще предлагаются другие варианты, но похоже используются не они.

Странно что на 166 просмотров всего один ответ. Монолог какой-то получается...

Странно что на 166 просмотров всего один ответ. Монолог какой-то получается...
Нет. Просто для начала въехать нужно во всю эту кухню, познакомиться поближе салго v1, потом уже подключаться к теме. Старт у всех разный, время, которое выделяют на эту проблемму, тоже разное, поэтому монолог. Графики, которые сдесь приводятся, для меня почти ничего не говорят, а задавать вопросы типа тыкните носом, что этот график обозначает, я не люблю, вот и получается пока монолог. :(

Согласен с MaiK. У меня, например, много времени отнимает работа, на ЭТО дело почти нет времени, плюс надо с ПИНами ковыряться...
Для начала я смотрел вообще как отражается работа карты на потребление тока... Например, при подаче 00 или FF картина совсем разная ну и т. д.
Для более тонкой работы нет соотв. оборудования, надо покупать или самому делать (скорее всего так и будет), но на это опять вермя надо...
А в схему врубился сразу... :)

З. Ы. Скорее всего Angelex говорит не о подключении резистора как такого, а обо всем остальном... усилители, фильтры и т. д.

To prcoder: если не хочешь отдавать всю схему в паблик, то хоть скинь тем, кому считаешь нужным...

Сегодня принесли KI и IMSI от Мегафона записать на мультик. Карта гарантированно v2. Это не шутка. Как это может быть? У опсоса есть возможность их читать? Сотрудники? Я в ахуе.

2 nuken: Да нет, мне не жалко ее для паблика. Ничего секретного там нету. Мне лень её рисовать. Темболее что работает она только с этой конкретной картой. Если другую вставить то никакого результата не получишь, надо все переделывать. А что не получается то ? Усилитель к резистору подключить ?

Alles, ki есть у оператора в базе. Нашли знакомого - да попросили как следует ;-)

Alles, сказал А, говори и Б, а именно:
- откуда уверенность про в2
- какой вид имеет Ки
- работает ли ЕМУ

2 nuken: Да нет, мне не жалко ее для паблика. Ничего секретного там нету. Мне лень её рисовать. Темболее что работает она только с этой конкретной картой. Если другую вставить то никакого результата не получишь, надо все переделывать. А что не получается то ? Усилитель к резистору подключить ?

Да нет, я нашел эти "инструментальные" усилители, но ведь их столько... Ты хоть напиши конкретную марку микрухи... а там люди сами разбирутся.

Сегодня принесли KI и IMSI от Мегафона записать на мультик. Карта гарантированно v2. ...
если карта таки была с в2, то мультик с принесенными KI и IMSI работать не будет, т.к. в нём заложен в1.

если бы тебе принесли мультик с в2 - вот это было бы ещё покруче :-)

doca, откуда такая уверенность? Подождем, что ответит
Alles. Я думаю, что работать должно. :D

Alles I писал(а):Сегодня принесли KI и IMSI от Мегафона записать на мультик. Карта гарантированно v2. ...

если карта таки была с в2, то мультик с принесенными KI и IMSI работать не будет, т.к. в нём заложен в1.

если бы тебе принесли мультик с в2 - вот это было бы ещё покруче

Все как-будто так. НО! Есть еще одна история. пришел чувак к моему знакомому с КИМСИ ЮМС(новая несканируемая карта), забили в мультик и работает!!!

Вот и думайте... Либо там хитрый в1, либо КИМСИ от В2 работает на эмуле под в1..

Сам не видел, но знакомый хороший, врать не мог..

Я уже говорил как-то: оператор не знает какой алгоритм на конкретной карте. Поэтому, если у ОпСоСа есть карты и v1 и v2, то от вашей карточки он примет ответ, полученный и потому и по другому алгоритму. Так что KI от v2 будет работать в эмуле v1. Но! Как только карточек v1 у опсоса не останется так наступит большой облом, ибо оператор закроет эту возможность :(

nuken: Да нет, я нашел эти "инструментальные" усилители, но ведь их столько... Ты хоть напиши конкретную марку микрухи... а там люди сами разбирутся.

Да любой подойдет. Ну например очень неплохой TI INA217AIP. Бери который дешевле, проще и самое главное есть в продаже. Впринципе ИУ можно собрать самому на трех ОУ, Только точность, конечно, будет пониже. Analog Devices делает хорошие дешевые усилители. У меня стоит AD623, его видно на той фотке что я присылал.

Все как-будто так. НО! Есть еще одна история. пришел чувак к моему знакомому с КИМСИ ЮМС(новая несканируемая карта), забили в мультик и работает!!!

Вот и думайте... Либо там хитрый в1, либо КИМСИ от В2 работает на эмуле под в1..

Сам не видел, но знакомый хороший, врать не мог..

Самое интересно, что у меня абсолютно противоположный случай... КИ в2 от ЮМЦ не запахала в симэму...

Тоже знакомый знакомого

Я уже говорил как-то: оператор не знает какой алгоритм на конкретной карте. Поэтому, если у ОпСоСа есть карты и v1 и v2, то от вашей карточки он примет ответ, полученный и потому и по другому алгоритму. Так что KI от v2 будет работать в эмуле v1. Но! Как только карточек v1 у опсоса не останется так наступит большой облом, ибо оператор закроет эту возможность :(

не путай народ! уже давно все обсуждали...ты не прав!

Да-да, это все происки SirGraham-а. Это у них там AuC так работает по его словам. А как у нас, это еще надо проверить.

Эх, блин, ну кто-нибудь бы выложил Ki от v2 (или от несканируемых карт), а то всё знакомые знакомых .... :(
Странно как-то это, как они доступ до шифрованной базы ключей у опсоса получают? Да еще потом декодируют ключи ....

nuken: Да нет, я нашел эти "инструментальные" усилители, но ведь их столько... Ты хоть напиши конкретную марку микрухи... а там люди сами разбирутся.

Да любой подойдет. Ну например очень неплохой TI INA217AIP. Бери который дешевле, проще и самое главное есть в продаже. Впринципе ИУ можно собрать самому на трех ОУ, Только точность, конечно, будет пониже. Analog Devices делает хорошие дешевые усилители. У меня стоит AD623, его видно на той фотке что я присылал.

Ага, вот я на них как раз и наткнулся. Будем дальше работать...

Wert, что значит, карточек v1 у опсоса не останется? Например, Киевстар на в2 перешел совсем недавно, а у ЮМЦ абонентов в1 ОЧЕНЬ много. Конечно, опсос может симки допустим бесплатно обменять, но это ОЧЕНЬ на вряд ли! Т.к. большинство абонентов НЕ контрактные. Но это не главное, есть у нас (на Украине) оператор - Велком. Развивается пока очень вяло. Так вот, чтобы ускорить процесс своего развития, он продает какую-то свою часть Приватбанку, и организует еще одно дочернее предприятие - «Моби».
Таким образом, мы, как бы, получили трех мобильных оператора в «ОДНОМ» лице, которые используют один и тот же код-(068), одни и те же базовые станции…
Так вот, карточки Велком я в руках не держал, Приват гарантированно - в1(сканил сам), а Моби-не в1и не в2. Ворон их сканить отказывается вообще.
ещё есть карточки которые в роуминге находятся (тож могут быть какой хош В)/usafa чуток добавил

GSMUser, не надо говорить, что я не прав. Все зависит от настроек КОНКРЕТНОГО оператора. Я говорил про Мегафон-Москва (и информацию эту проверял лично, то есть KI заработал). На других операторах может быть по другому.

kest, не останется - значит "не останется". Со временем. Само-собой или превентивно - это уже не так важно.

dimm, пользуй поиск - я выкладывал сюда пару таких KI (только зачем они тебе?)

GSMUser, не надо говорить, что я не прав. Все зависит от настроек КОНКРЕТНОГО оператора. Я говорил про Мегафон-Москва (и информацию эту проверял лично, то есть KI заработал). На других операторах может быть по другому.

kest, не останется - значит "не останется". Со временем. Само-собой или превентивно - это уже не так важно.

dimm, пользуй поиск - я выкладывал сюда пару таких KI (только зачем они тебе?)

ну ты ж пойми , на карте есть только один алгоритм, а на свитче их может быть 2, при одинаковых RAND+Ki SRESы от AuC и карты будут разные для разных алгоритмов, сверка их не будет положительной!
свитч не будет их генерить для обоих алго а потом перебирать- это чушь!