RNS 315 вопрос-ответ

Sergii

Новичок
Регистрация
8 Янв 2017
Сообщения
4
Благодарности
0
Адрес
Германия
Автомобиль
Skoda Octavia
clouseau, а какой именно навигатор установлен у вас?
 

misha-nadolski

Новичок
Регистрация
3 Янв 2017
Сообщения
4
Благодарности
2
Адрес
Минск
Автомобиль
VW touran
Да, записывает файл "deviceid" среди других файлов в каталоге " navpsf_update " .
Здравствуйте, не подскажите какое содержание имеет данный файл? После его удаления - можно использовать карту на другом устройстве?
 

clouseau

Заинтересовавшийся
Регистрация
1 Янв 2017
Сообщения
39
Благодарности
44
Адрес
Praha
Автомобиль
Superb
Здравствуйте, не подскажите какое содержание имеет данный файл? После его удаления - можно использовать карту на другом устройстве?

Да. После его удаления можно использовать карту на другом устройстве.
внутри этого файла:" b8žËJ"á ä’SHN " - уникальный код навигации
 

MichaelRaZor

Участник
Регистрация
19 Апр 2013
Сообщения
218
Благодарности
85
Адрес
Мурманская обл.
Автомобиль
Audi Q5 2.0 TFSI
Я пытаюсь подобрать алгоритм расчета пароля (различные вариации hash и xor)
Если я правильно понимаю, Вы имеете довольно близкое отношение к программированию. Я тоже когда-то был программистом:( По старой памяти попытался прикинуть алгоритм брутфорса. Получилось, что для перебора всех возможных вариантов для конкретного CID потребуется порядка 70 тыс. вызовов функций преобразования (MD5, etc), подавая им на вход размещения из 8 байт CID по (8, 7,...2). Плюс столько же с обратным порядком битов в байтах. Вряд ли вендор использует более хитромудрое перемешивание битов CIDа. Так что, даже для тестирования десятка вариантов преобразования, получится порядка 1.5 млн. вызовов. Для современной выч.техники - семечки:) Или я что-то неправильно понимаю?

Сам проверить не могу - уже несколько лет даже не имею на компах (ни дома, ни на работе) ни единого средства разработки:(

Впрочем, элементарный способ для вендора избежать подобного взлома - вставить пару лишних операторов в стандартную процедуру преобразования... Так что, запросто можете и не найти ничего...
 

nadker3

Новичок
Регистрация
10 Ноя 2016
Сообщения
21
Благодарности
5
Адрес
киев
Автомобиль
PASSAT B7 2.0TDI
clouseau а что вы знаете о новых прошивках для RNS315
 

clouseau

Заинтересовавшийся
Регистрация
1 Янв 2017
Сообщения
39
Благодарности
44
Адрес
Praha
Автомобиль
Superb
Я ничего не знаю об этом. Я не занимался...
 

Svarog

Почётный Тигуановод
Регистрация
17 Июн 2013
Сообщения
1,836
Благодарности
809
Адрес
Нижний Новгород
Автомобиль
Tiguan 2.0 TSI SE
Так что, даже для тестирования десятка вариантов преобразования, получится порядка 1.5 млн. вызовов. Для современной выч.техники - семечки:) Или я что-то неправильно понимаю?

Не верю я в это. Подбирать пароль неизвестной длины (вряд ли маленькой, скорее всего те же 40 байт что и CID с паролем, его ж не на бумажке записывать) даже приблизительно не зная алгоритма шифрации/преобразования CID в пароль? VW запросто мог поставить программный шифратор восходящий к PGP, а меня тупо учили, что при достаточной длине ключа PGP за приемлемое время не ломается. Судя по тому, как у меня RNS-315 не смог подобрать ключ к карточке с правильным ключом и неправильным CID'ом, секунда у нее на это есть, а за секунду сгенерировать один код по PGP даже тупым-претупым процессором несложно.
Хотя я тоже всем этим лет 15 уже не занимался.
 

Nikopol

Участник
Регистрация
23 Дек 2012
Сообщения
432
Благодарности
248
Адрес
СПб
Автомобиль
Tig_v1 TSI 2л
MichaelRaZor, CID содержит 16 байт, а не 8. Пароль тоже содержит 16 байт. Нужно понять, какой функцией получается одно из другого. f(x) = y. Первое, что приходит в голову, это конечно MD5. Я попробовал несколько сотен вариаций байт CID (разбил их по спецификации emmc и брал в разном порядке), скармливая их функции MD5. Результат нулевой. Если они "подсаливают" CID каким-то еще значением перед MD5, узнать перебором это невозможно. Может быть это не "соль", а какое-то еще преобразование до или после MD5, например XOR каким-то еще ключом. Может быть это вовсе и не MD5, а что-то другое, например AES. Тогда тут и брутфорс не поможет. Румын, который все это заварил, точно знает алгоритм. Там либо что-то очевидное и простое, либо он поковырялся в мозгах ГУ и выяснил алгоритм, который может быть любой степени сложности и изощренности.
На прошлых страницах я просил кого-нибудь, у кого есть ноутбук и карта для прошивки, выяснить хотя бы значимые байты CID. У меня есть подозрение, что последний байт не используется. Может быть еще какие-то тоже, вроде серийного номера или даты выпуска карты. Это хоть немного бы прояснило что-то. Но никто так и не проверил.
 

MichaelRaZor

Участник
Регистрация
19 Апр 2013
Сообщения
218
Благодарности
85
Адрес
Мурманская обл.
Автомобиль
Audi Q5 2.0 TFSI
...CID содержит 16 байт, а не 8. Пароль тоже содержит 16 байт...
Виноват, не туда посмотрел - тупо увидел в спецификации, что CID 64 бита, и не стал считать байты в приведенных тут значениях:)
...Я попробовал несколько сотен вариаций байт CID (разбил их по спецификации emmc и брал в разном порядке), скармливая их функции MD5...
Это не брутфорс:) Тут нужен тупой алгоритмический перебор размещений из 16 по n байтов CID для n от 16 до 2. В таком случае либо находится соответствие, либо можно однозначно утверждать, что используемое преобразование не соответствует тому, что применяет ВАГ. Естественно, это работает в предположении, что ВАГ использовал стандартную функцию без дополнительных усложнений. И да, AES, RCA и иже с ними так не сломать:(
 
Последнее редактирование:

Nikopol

Участник
Регистрация
23 Дек 2012
Сообщения
432
Благодарности
248
Адрес
СПб
Автомобиль
Tig_v1 TSI 2л
Тут нужен тупой алгоритмический перебор размещений из 16 по n байтов CID для n от 16 до 2.
Мне кажется, такой подход не имеет смысла. Вы предполагаете, что алгоритм перед расчетом MD5 использует перемешанные в случайном порядке байты CID. И поэтому нужно пробовать все варианты перестановок, пока не будет найдена одна правильная, которая вшита в алгоритм. Но с логической точки зрения такой алгоритм слишком случаен для реализации именно в таком виде. Вряд ли разработчики руководствовались принципом "security through obscurity". Если это что-то простое, то скорее всего из CID выброшены или заменены нулевыми незначимые байты и из остальных частей в их прямом порядке или в каком-то другом собирается входной параметр для хэширующей функции. Или к CID что-то приклеивается, несколько байт, и результат подается в функцию.
 

Svarog

Почётный Тигуановод
Регистрация
17 Июн 2013
Сообщения
1,836
Благодарности
809
Адрес
Нижний Новгород
Автомобиль
Tiguan 2.0 TSI SE
На прошлых страницах я просил кого-нибудь, у кого есть ноутбук и карта для прошивки, выяснить хотя бы значимые байты CID. У меня есть подозрение, что последний байт не используется. Может быть еще какие-то тоже, вроде серийного номера или даты выпуска карты. Это хоть немного бы прояснило что-то. Но никто так и не проверил.

У меня есть и то, и другое, но мне нужна ссылка на то, как это сделать.
 

nadker3

Новичок
Регистрация
10 Ноя 2016
Сообщения
21
Благодарности
5
Адрес
киев
Автомобиль
PASSAT B7 2.0TDI

clouseau

Заинтересовавшийся
Регистрация
1 Янв 2017
Сообщения
39
Благодарности
44
Адрес
Praha
Автомобиль
Superb
If you have a ORIGINAL Evo+ (mSD), your CID should look like this
1b534d303030303010 98625deb 0102 a1 (without spaces)
The first 18 HEX values should be the same. The next 8 hex characters ( 98625deb ) are the SD card serial number, yours will be different! The manufacturing date is next (0102, or 0 10 2), where the first digit is ignored, the next pair is the year in hex since 2000 and the last digit is the month in hex. So this is February (2) 2016 (2000 + 0x10). Last is the checksum (a1) which will be different on your card.
Source: richard.burtons.org
 

Nikopol

Участник
Регистрация
23 Дек 2012
Сообщения
432
Благодарности
248
Адрес
СПб
Автомобиль
Tig_v1 TSI 2л
Svarog, nadker3,
для начала попробовать прошить тот же самый CID, но с измененными одним или несколькими байтами:
Вот в эту команду вместо оригинального CID подставить измененный
sudo ./mmc prog_cid /dev/mmcblk0 5d53424c32424d31013917ca53010400

Варианты для проверки (красным выделены измененные байты):

1. 5d53424c32424d31013917ca5301041f
2. 4e53424c32424d31013917ca53010400
3. 5d544d4c32424d31013917ca53010400
4. 5d53423030303030013917ca53010400
5. 5d53424c32424d31103917ca53010400
6. 5d53424c32424d3101b0554dc5010400
7. 5d53424c32424d31013917ca5300f900

После прошивки CID, вытащить и вставить карту в ноутбук и проверить, что CID прописался успешно
cat /sys/block/mmcblk0/device/cid

Потом залочить тем же паролем
sudo ./mmc lock_sd /dev/mmcblk0 C99A20843ED7D90B6801E49F2BC80277

Естественно на SD должны быть навигационные данные, например West V9. Сунуть SD в ГУ и выяснить, примет ли она карту как родную, или ругнется на ошибку.
Если у вас есть время и возможность проверить, предварительно отпишитесь здесь, какой CID будете тестировать (его номер как указан в списке), чтобы не тратить силы на одни и те же CID. Это поможет ответить на вопрос, использует ли неизвестный нам алгоритм расчета пароля все данные из CID, или только некоторые из них.
 

clouseau

Заинтересовавшийся
Регистрация
1 Янв 2017
Сообщения
39
Благодарности
44
Адрес
Praha
Автомобиль
Superb
1. 5d53424c32424d31013917ca5301041f
Не нужно тестировать - просто контрольная сумма ( что я там 46 и работает)


Добавлено через 9 минут
Я буду тестировать :

5. 5d53424c32424d31103917ca53010400
6. 5d53424c32424d3101b0554dc5010400
7. 5d53424c32424d31013917ca5300f900
 
Последнее редактирование:

Nikopol

Участник
Регистрация
23 Дек 2012
Сообщения
432
Благодарности
248
Адрес
СПб
Автомобиль
Tig_v1 TSI 2л
clouseau, контрольная сумма рассчитывается чем и в какой момент? Это делает программа mmc изменяющая CID, кардридер ноутбука или контроллер самой SD карты?
Мне кажется, что это тестировать тоже нужно. Для SD карты подходит как 5d53424c32424d31013917ca53010400, так и 5d53424c32424d31013917ca53010401. Я предполагаю, что последний может получаться из-за старых данных в CID. Crc7 хранится в 7 битах последнего байта, восьмой бит значения не имеет. Если в нем до перепрошивки хранился бит =1, он там и останется. Но это лишь мои предположения. В любом случае RNS точно игнорирует последний бит. А если в процессе перепрошивки Crc7 ничем не рассчитывается, тогда указание любой случайной в последнем байте поможет определить, игнорирует ли ГУ последний байт целиком.
 

Svarog

Почётный Тигуановод
Регистрация
17 Июн 2013
Сообщения
1,836
Благодарности
809
Адрес
Нижний Новгород
Автомобиль
Tiguan 2.0 TSI SE
для начала попробовать прошить тот же самый CID, но с измененными одним или несколькими байтами:
Смогу заняться этим через неделю, когда вернется одна из заряженных и использованных карт.
 

clouseau

Заинтересовавшийся
Регистрация
1 Янв 2017
Сообщения
39
Благодарности
44
Адрес
Praha
Автомобиль
Superb
clouseau, контрольная сумма рассчитывается чем и в какой момент? Это делает программа mmc изменяющая CID, кардридер ноутбука или контроллер самой SD карты? - всегда после изменения CID.
Сейчас я изменено на тест номер пять и в конце я получил 25

Добавлено через 4 минуты
5. Тестирование - ошибок карты - не работает

Добавлено через 5 минут
Сейчас я изменено на тест номер 6 и в конце я получил d7

Добавлено через 6 минут
6. Тестирование - ошибок карты - не работает

Добавлено через 6 минут
Сейчас я изменено на тест номер 7 и в конце я получил 99

Добавлено через 10 минут
7. Тестирование - ошибок карты - не работает

Добавлено через 6 минут
Сейчас я изменено на тест номер 1 и в конце я получил 59

Добавлено через 46 минут
1. Тестирование - работает, как я думал

Добавлено через 4 минуты
это хорошо, что у меня ATmega - Я не нужен форматировать только разблокировать :)

Добавлено через 3 минуты
Сейчас я изменено на тест номер 2. и в конце я получил 9f

Добавлено через 3 минуты
2. Тестирование - ошибок карты - не работает

Добавлено через 4 минуты
Сейчас я изменено на тест номер 3. и в конце я получил d3

Добавлено через 2 минуты
3. Тестирование - ошибок карты - не работает

Добавлено через 3 минуты
Сейчас я изменено на тест номер 4. и в конце я получил 83

Добавлено через 3 минуты
4. Тестирование - ошибок карты - не работает

И, наконец, конец :)
 
Последнее редактирование:

Nikopol

Участник
Регистрация
23 Дек 2012
Сообщения
432
Благодарности
248
Адрес
СПб
Автомобиль
Tig_v1 TSI 2л
clouseau, большое спасибо! Вы проделали отличную работу. Это многое проясняет.

Сейчас я изменено на тест номер 1 и в конце я получил 59

1. Тестирование - работает, как я думал
Уточните, у вас получился 5d53424c32424d31013917ca53010459, и RNS приняла эту карту?
 
Сверху Снизу