資料來源:PSPChina論壇  翻譯:hrimfaxi

本文對TA-88v3所添加的安全措施做個介紹,這個安全措施也可能被加入到PSP-3000。

當PSP啟動時,引導代碼(也稱為pre-IPL或者IPL loader)會將IPL從NAND或是記憶卡裡加載過來。IPL將被分割為每塊0x1000位元組的大小。

* pre-IPL:位於PSP CPU裡的引導代碼,PSP CPU一旦通電就會自動執行
* IPL:PSP軔體中引導PSP完成系統初始化的部分

每塊前0xA0位元組是Kirk硬體命令1的頭部。它包含了密鑰、密文的大小,還有兩個hash,一個是頭部本身的,另一個是為密文正文的。剩下的 0xF60位元組為密文正文,它將被解碼成大小為0xF60字節的明文數據,如果這個hash由Kirk硬體檢查無誤的話。(注意:密文正文實際上可以小於 0xF60位元組,TA088V3之前的版本在這種場合下剩餘位元組將被忽略)。

* Kirk:PSP的主要解密/驗證晶片

Kirk hash安全機制被時序攻擊法所攻破,於是IPL就失去了保護。

* 時序攻擊法:類似竊賊觀察他人轉動保險櫃撥號盤的時間長短來猜測密碼的一種破解方法
參考:http://en.wikipedia.org/wiki/Timing_attack

Sony是添加了什麼來修補這個漏洞的呢?
答案可以在4.00+ slim ipl裡找到。他們將密文正文大小減小到0xF40位元組,剩下0x20位元組在每塊的末尾(也就是偏移0xFE0)。

如前文所述,在TA88v3以前的的PSP裡,這些剩餘的位元組都是被忽略。實際上,即使它們是隨機的,IPL仍然能啟動那些PSP。然而,在最新的pre-IPL裡,這些0x20位元組有了特殊的意義。

前0x10位元組為從解密後的分塊裡計算的目前不明的hash。之所以說它是從解密後的分塊而不是從解密前的分塊裡計算出來的,是因為4.01和4.05有大量的IPL分塊,在解密後是相似的,然而它們卻有完全不同的加密形式。在這兩個IPL裡,它們的hash是相同的,
如圖可見:
點擊在新視窗中瀏覽此圖片

其後0x10位元組看起來像是獨立於解密正文(可能也獨立於前0x10個位元組?)。在圖中可以看到它們在4.01和4.05里是不同的,但是它們實際上可以互換,你可以從4.05版IPL的相同區塊裡移動那0x10位元組到4.01版IPL,仍然可以啟動;然而它並不能隨機化。

這種保護也粉碎了任何降級到4.00版本以下的可能,因為這些新CPU不能在以前軔體的IPL下啟動。

總結:基本上,所有最新的PSP CPU的安全措施取決於那0x20位元組是如何計算的秘密性。如果pre-IPL被某種方法導出了,這個安全保護將完全失效。

圖形總結:
點擊在新視窗中瀏覽此圖片

原文地址:
http://www.dark-alex.org/forum/viewtopic.php?f=44&t=1194
評論(15) | 引用(0) | 閱讀(18281)
想學多點知識 Says:
2009/12/12 17:39
總之理解成"硬體被加密了..."就好了= =
雖然很有興趣插一腳...但沒進修過,基本知識什麼的都很有限...
其實DA到內地山寨應該就可以找到他要的人(什麼CPU晶片工程師)吧...
內地山寨的人應該很好收賣,畢竟是$ONY的黑工XD
呵呵,可惜從那次之後,他就開始潛水了~~
威爾斯柏 回覆於 2009/12/12 23:33
天氣熱了 Says:
2009/05/29 02:32
之前看到Hen已經問世了. 但成功率普遍上還達不到漏洞百分百.
關於v3加密方式原理也了解了(都拆開PSP了)
我還手動接線了(賭上了!)
主要還是在CPU那塊, 但我發現跟NandFlash的IPL沒太大關係.
目標就是Boot Code那塊啦.
希望不會要用到"還原電路". 我去哪生電子顯微鏡@@.還有去封膠, 大陸那邊不是很多牛人嗎? 山寨嗎? 叫她們去做一下逆向工程造福廣大機友好了.(肖想)
主要是CPU那邊的pre-IPL,要導出這裡的數據,才知道為啥他不吃神卡或是M33的IPL
威爾斯柏 回覆於 2009/05/29 09:43
BLACK Says:
2009/04/21 21:28
psp-2007
破解玩了嗎
非常期待  已經等了好幾個月
快了快了~~
就等那HEN了
威爾斯柏 回覆於 2009/04/21 21:56
阿朋 Says:
2009/03/10 22:40
剛剛詢問了維修技師~1000型跟2000行的舊門鎖無法裝在3000型上頭
因為1000型CPU會發生無動作..2000型CPU要接電視才有影像(主機無畫面)
以上是實驗後的結果=   =
嗯,感謝匯報~~
威爾斯柏 回覆於 2009/03/10 23:08
阿朋 Says:
2009/03/10 20:47
那也就是說~如果有以前的CPU如1000型~改在3000型上頭
就可以變成可改機是這個意思嗎(把門鎖換成舊的)????
把門鎖換成舊的確實可行,但這道門也要適合這道舊鎖
換言之,PSP-3000不能使用PSP-1000的CPU
PSP-2000的CPU也不知道能不能用在PSP-3000型上(估計也不行)
目前PSP-2000 TA-088v3硬改的方法,就是拿PSP-2000 TA-088v2或是之前的CPU來替換~~
威爾斯柏 回覆於 2009/03/10 21:37
ㄚ游 Says: Email
2008/10/27 22:20
DA大大 你真的好厲害 所以說 現在新版的TA-088v3主機板是可以破解的?  還是說DA大正在忙著破解3000型 沒空理2000型 哈哈 開玩笑的  我相信DA大ㄧ定可以  加油!!!!
基本上DA還是會優先下手PSP-2000 TA-088v3
因為這樣破解PSP-3000會比較順利點
威爾斯柏 回覆於 2008/10/27 23:15
sonic00041s Says:
2008/10/07 08:13
唉 還真是換湯不換藥  多了那一個區塊 也只有增加破解難度 但不等於是封鎖破解

如果真要說防破解了話  我真的覺得$ONY應該要UMD和光碟機下手
反正套件都是自己開發的嘛  UMD事先燒一圈防拷貝兼驗證的區塊應該不難吧
                                                  光碟機 都是自己做的  內建一片讀取資訊驗證的晶片也不是
                                                  不可能吧

反觀系統架構都已經被別人知道了 還硬是要在這個架構中玩花樣 總讓人覺得背後的商業利益算記的方式 好像和這些加密形式一樣  已經超越我悶能夠想像的邏輯了
嗯,這確實是個方法,但還是會遭人破解
說穿了,要阻止整個破解,換軔體換硬體出個PSP2還比較有可能
威爾斯柏 回覆於 2008/10/07 08:55
小問 Says:
2008/10/07 02:15
這篇在說什麼...
我怎麼什麼都看不懂= "=
TA...0xF40...什麼碗糕="=?
總之...就是非常難破解的意思吧?
呵呵,那是16進制的,也不能說太難破解,是得想辦法取得CPU上pre-IPL的資料
威爾斯柏 回覆於 2008/10/07 08:52
horo~ Says:
2008/10/06 23:43
DA加油
我的3000就等你破關再下手
哈哈
威爾斯柏 回覆於 2008/10/07 00:27
TAIWANKA Says:
2008/10/06 21:35
等於說短時間之內,大家要好好保護你的PSP,如果壞到必需買新機,那乾脆就先不要買了,除非你有大量進正版的資金與能力,老實說有人說PSP遊戲少是跟改機有關,但是NDS的改機,應該說是R2卡更多,裡面能放的遊戲數量比PSP多很多,那為什麼廠商都出NDS的遊戲了? 其實你看過NDS與PSP遊戲的容量多少可以看出端倪,PSP比較好一點的作品,基本上都是500M以上,因為含有畫質、CG、音效等等,這些都比NDS的品質還要好,相對的開發成本也較高,所以說並不是完全盜版害了PSP,因為這點NDS也一樣,重點是NDS遊戲開發便宜,但是價格卻也跟PSP只不過差了幾百塊,所以代表NDS遊戲開發簡單可以多做幾款,獲利高,所以廠商寧願犧牲一堆東西來賺錢,WII也是同樣的道理,而且這類廠商屬日商最多,這也是為什麼有日本的遊戲相關製造說,日商不知進取的只往低成本平台狂作遊戲,反而是歐美國家在新世代主機平台,有一次又一次的亮麗表現,除了日商問題,SONY本身也該有所負責,之前有一篇文章是說SONY對於第三方的不滿,但是實際看來PSP的開發成本本來就比別人高,而在硬體銷售數量也不比NDS,第三方有什麼理由來做遊戲給你,況且賣遊戲還要被你抽,我發時間成本開發的遊戲,賣的不多,光被抽的錢就不少,誰理你啊,那幹嘛SONY不先提供優惠給第三方,再來抱怨人家不彭場呢,這就是SONY的老大心態,只要自己活,別人都是錯的,這點在PS3上也是同樣上演,難怪PS3狂賠,因為遊戲也很少,至於理由跟之前提的也相去不遠。

最後來說,PSP沒有什麼值得進步的地方,甚至我認為連所謂的PSP2都沒有產生的必要,就算提升運算能力,也不是所有廠商都會做的出那種遊戲,因為PSP移植作品、小品遊戲太多了,反觀應該先從PSP的讀取與儲存媒介光碟下手,如果SONY還想賣UMD的話,除非SONY也要比照PS3模式,說PSP2是個功能強大的行動型多媒體平台,所以價格貴是正常的,重點是他能透過PSP2的高畫質螢幕看高清的影片,遊戲只是他的一小部分功能,我想我應該會開始考慮NDS或是NDS2吧,至少任天堂知道什麼是一台遊戲機。
SONY真的要為那些開發遊戲的廠商想想,不要只會抱怨那些廠商
也不要一直出些原創遊戲,要出之前自己先玩玩,目前的原創遊戲只有幾款能玩,其他的真的很糟糕
也不要以為防破解就可以增加一些UMD銷售量,廠商就會回來繼續打拼這種單純的想法
看看人家微軟,玩盜版片的大有人在,三紅機也吵的狒狒洋洋,遊戲還不是一樣賣的嚇嚇叫,主機銷售量依然頂呱呱,近期主機還降價呢,7000有找,你PS3還想不想玩下去阿~~~

所以SONY~~~  不要太摳
威爾斯柏 回覆於 2008/10/06 22:27
WO4WO Says:
2008/10/06 17:51
ps2的hit大作尤其是華麗的3d動作類遊戲鮮少移植到PSP上
浪費了比DSL優異的3D效能

至今還在等PS2上的DOA2/火爆梅貴/獸人格鬥/麻辣女劍士/3D聖鬥士星史格鬥...等等移植PSP
不過應該是很難會出吧
我倒是沒啥遊戲可以期待,只要能弄一些好玩的就行了
例如那隻企鵝遊戲~~~
或是DJMAX讓我手殘一下也OK
威爾斯柏 回覆於 2008/10/06 18:02
E'$ Says:
2008/10/06 00:30
完全看不懂= =
DA真是天才= =
呵呵
威爾斯柏 回覆於 2008/10/06 08:23
影狐 Says:
2008/10/05 23:40
所以他就意思意思加一個不太容易解開的鎖
但是在時間的累積下在破解上卻是沒問題的

用這種方法來吸引新遊戲廠商又不會長時間影響到他的銷量
反正等破解後在等待中的玩家還是會踴躍購買

話說...
PSP有7成都是歐美風格的遊戲不是很感興趣
他為什麼不多找些日系的廠商
貌似他是日本廠牌??
呵呵,不錯,挺了解SONY的用意嘛~~
PS:SONY確實是日本廠商
威爾斯柏 回覆於 2008/10/05 23:49
cowboy Says:
2008/10/05 23:35
雖說改機增加了PSP的銷售量
可遊戲的銷售量並沒有跟主機成正比
或許一些第三方遊戲商對PSP興致缺缺也是這個原因吧
其實也要怪遊戲不怎麼好,看看人家Xbox360,遊戲賣的多好阿,而且現在娛樂版主機7000有找,微軟就是牛逼,乾脆來出個掌機好了
威爾斯柏 回覆於 2008/10/05 23:48
影狐 Says:
2008/10/05 23:33
歐...雪特
這就是代表了Sony只是改了個門鎖而已??
出了改機他的銷量不是增加了嗎...
幹麻沒事亂改鎖...可惡....
等待..等待..等待....
啊~~~~
好想玩T_T

DA大快找出新鑰匙吧...
分頁: 1/1 第一頁 1 最後頁