Bluedisk 4.25 Déjà Cracké Et Clé Lv0


Newserator
 Share

Messages recommandés

Sauf que sur les 3k et 4k c'est pas exploitable. Donc vous emballez pas ceux qui ont ces modèles.

Si Mathieulh et Marcan disent vrai, ça peut l'être, puisque seul le lv0 n'est plus le même (lv0.2) ; et le bootldr ne peut pas être modifié.

Lien vers le commentaire
Partager sur d'autres sites

  • Réponses 84
  • Created
  • Dernière réponse

Top Posters In This Topic

Sans dump , tu fais comment faut m'expliquer?

Tu dois probablement t'adresser a moi... Ta NOR n'est pas "touché", en fait elle l'est mais quand tu patch ton DUMP du coup tu retrouve une NOR clean pour le downgrade, en gros tu dump ta NOR brické tu patch ton dump, et une dois que tu as flashé ton dump un coup de FSM avec CFW Rogero 3.7 sur clé USB et tu es de retour sur 3.55.

Lien vers le commentaire
Partager sur d'autres sites

Un peu de lecture ? ^^

http://wololo.net/2012/10/25/clarifying-th...s3-development/

La première étape du bootLoader est dans la ROM et c'est une clé unique à chaque console. La seconde étape du boot (bootldr) est cryptée avec la première clé, mais elle est irrévocable et commune à toutes les consoles.

Ce second stage vérifie le Lv0 et Sony signe le Lv0 en utilisant le même mauvais processus qu'il utilise pour le reste, (ce qui avait fait fuir leur clé privée au début).

Cela signifie que la clé privée lv0 était condamnée dès le début, depuis le Chaos Communication Congress il y a deux ans.

Cependant, le lv0 est également crypté, y compris son bloc de signature, nous avons besoin de cette clé de décryptage (qui fait partie de bootldr) avant que nous puissions déchiffrer la signature et appliquer l'algorithme pour déduire la clé privée.

Nous avons fait cela pour plusieurs étapes ultérieures en utilisant un exploit. Geohot l'a fait pour le metldr (le "seconde root" du processus bizarre du démarrage de la PS3) alors on l'a utilisé (nous l'avons reproduit, mais modifié), .

À l'époque, ce fut assez pour casser la sécurité de tous les firmwares publiés, puisque tout ce qui comptait était enraciné dans le metldr (qui est le frère du bootldr et est également décrypté par la clé per-console). Toutefois, Sony a fait un dernier effort après ce hack et à enveloppé tout ce qui suit le metldr dans le lv0, en utilisant leur dernière sécurité (bootldr et lv0) pour tenter de re-sécuriser leur plate-forme.

Le Bootldr souffre du même exploit que le metldr donc il été également condamné. Cependant, en raison que le bootldr est conçu pour fonctionner à froid, il ne peut pas être chargé dans un SPU isolé comme le metldr le peut (ce que nous avions par l'intermédiaire de l'exploit lv2), donc l'exploit est difficile à réaliser parce que vous n'avez pas de contrôle sur le reste du logiciel.

Pour l'exploit que nous connaissions, il aurait exigé plusieurs redémarrages de la PS3 et une sorte d'émulateur du Flash pour mettre en place l'exploit avec plus ou moins de paramètres à chaque démarrage et il aurait sans doute fallu plusieurs heures ou jours d'automatisation pour tenter de toucher la bonne combinaison (l'exploit pourrait fonctionner en exécutant des données aléatoires et en espérant qu'à un moment, il passe à l'intérieur d'un segment que l'on contrôle, les probabilités sont assez élevées pour que cela fonctionne dans un délai raisonnable). Mais personne n'a jamais pris la peine après tous les procès de Sony.

On peut supposer que, 18 mois plus tard, un autre groupe a enfin compris cela et a utilisé notre exploit et de l'aide matérielle, ou quelques autres trucs équivalents pour dumper le bootldr. Une fois la clé de décryptage lv0 connut, la clé de signature privée peut être calculée (merci l'échec épique de Sony).

L'effet de cela est essentiellement le même que lors de la clé du metldr : tous les firmwares actuels et futurs peuvent être déchiffrés, sauf que Sony n'a plus le truc du lv0 dans sa manche.

Ce qui veut dire qu'il n'y a aucun moyen pour Sony de refaire ce genre d'enveloppement, parce les anciennes PS3 doivent être en mesure d'utiliser tous les firmwares à venir (en supposant que Sony ne décide pas simplement de toutes les brické ...) et ces vieilles PS3 n'ont plus de sécurités restante inconnus.

Cela signifie que tous les firmwares futurs et tous les jeux sont déchiffrables et cette fois ils ne peuvent pas vraiment faire quelque chose. Par extension, cela signifie que, compte tenu de l'habitude du chat et de la souris (analyse et patch du firmware), chaque utilisateur actuel de firmware hacké ou vulnérable devrait être en mesure de maintenir cet état pour toutes les futures mises à jour, comme tous les firmwares futurs peuvent être déchiffrés et resignés pour les vieilles Ps3.

Du côté des l'homebrews, cela signifie qu'il devrait être possible d'avoir des hombrew/linux et les jeux en même temps. Du côté de la piraterie, cela signifie que tous les futurs jeux peuvent être piratés. Notez que cela ne signifie pas que ces choses seront faciles (Sony peut masquer des choses pour compliquer), mais du point de vue de la sécurité fondamentale, Sony n'a plus de béquille de sécurité maintenant.

Cela ne signifie pas que les firmwares actuels sont exploitables. Les mises à jour sont encore signées, il vous faudra un exploit dans votre firmware actuel afin de downgrader. En outre, les nouvelles PS3 ont sans doute fixé cela (probablement en utilisant un bootldr / metldrs plus récent et une meilleure signature).

Ce sont en effet les clés bootldr (j'ai été en mesure de déchiffrer un lv0 avec eux).

Cela peut-il être utilisé pour signer des binaires afin de lancer des homebrews sur Ps3 Retail ? (comme la fuite des clés PSP)

Non, les clés sont utilisées à deux fins: la "chain of trust" et la "chain of secrecy". Les clés actuels compromettent totalement la "chain of secrecy" de la PS3.

Cependant, la "chain of trust" peut être rétablie à tout moment tant que la ligne peut être mise à jour. La "chain of trust" est enracinée dans le matériel ce qui est presque impossible à modifier (la ROM CPU’s et les clés eFuse).

La chaîne suivante a été compromise (le bootldr) et celle-ci ne peut pas être mise à jour, car elle est spécifique à chaque console, de sorte que la "chain of trust" a maintenant un maillon faible permanent.

Toutefois, la troisième liaison, le lv0, peut être mise à jour, car il est situé dans le flash et signée au moyen de la clé publique. Cela permet à Sony de sécuriser toute la chaîne à partir de là.

Sauf si vous trouvez une vulnérabilité dedans, vous ne serez pas en mesure de les attaquer directement (par exemple les homebrews, sont vérifiés beaucoup plus bas dans la chaîne).

Le seul moyen garanti pour briser la chaîne est d'attaquer directement le maillon faible, ce qui signifie l'aide d'un flasher hardware pour remplacer le Lv0. Une fois cela fait, la chaine entière s'effondre (enfin, vous avez encore besoin de faire quelques travaux sur les échelons inférieurs pour patcher les sécurités, mais c'est facile).

Les vieilles PS3 sont maintenant dans le même bateau que les vieilles Wii, et en fait, nous pouvons établir une comparaison directe du processus de démarrage.

Sur une vieille Wii, le boot0 (la ROM puce) charge en toute sécurité le boot1 depuis le Flash, qui est vérifié contre un hachage eFuse, et le boot1 charges le boot2 mais ne vérifie pas signature.

Sur une vieille PS3, la ROM Cell boot en toute sécurité le bootldr depuis le flash, il est déchiffré et vérifié à l'aide d'une clé eFuse, puis le bootldr charge le lv0 mais vérifie sa signature avec une clé codée en dur dont la contre partie est maintenant connu.

Dans les deux cas, le système peut être compromis si vous pouvez écrire dans le Flash, ou si vous pouvez déjà lancer du code non signé.

Toutefois, dans les deux cas, vous devez utiliser une sorte d'exploit de haut niveau pour pénétrer dans le firmware d'abord, surtout si vous avez mis à jour le firmware.

Il se trouve que c'est trivial sur la Wii, car il n'existe pas de système de patch pour les jeux et Nintendo semble avoir cessé de s'en préoccuper, tout cela est beaucoup plus difficile sur la PS3 parce que le logiciel système a plus de couches de sécurité et il y a un système de patch des jeux.

Pour décomposer en des mots simples et faciles à comprendre

Q : Qu'est-ce qui a été exactement récupéré?

R : Les clés utilisées par le bootldr pour déchiffrer / vérifier le lv0 et en inversant le processus, les clés privées utilisées par Sony pour signer le lv0. Si nous consultons notre très pratique diagramme "3.60+ chain of trust", nous pouvons voir que le bootldr est à la racine de la chaîne, avec le lv0 comme premier module chargé.

800px-Ps3-cryptochain-360.png

Q : Alors, que pouvons-nous faire avec les clés de signature lv0 ?

R : En bref, nous pouvons les utiliser pour déchiffrer le lv0, le modifier pour patcher tous ses contrôles de sécurité, et le resigné avec une clé légitime que le bootldr acceptera.

Avec la "chain of trust" brisée et le Lv0 qui ne check plus la sécurité des modules qu'elle contrôle, nous pouvons alors commencer à modifier les lv1ldr, lv2ldr, appldr, isoldr, etc et ajouter des fonctionnalités au CFW.

Q : Sony peut-il fixer ça comme ils l'ont fait pour l'exploit 3,55 ?

R: Non. Avec le 3,55, les clés metldr utilisées pour vérifier ses modules dépendants ont été récupérées.

Donc Sony a simplement cessé d'utiliser le metldr et a commencé à utiliser le bootldr (qui était encore plus sûr).

Sony ne possède pas de modules plus sûrs. La seule chose qu'il lui reste, ce sont les modules qui utilisent la clé "per-console" qui sont inutiles pour le démarrage du firmware (qui doit être déchiffrable par toutes les PS3)

Lien vers le commentaire
Partager sur d'autres sites

En gros c'est toujours la même musique, Sony a fait une véritable passoir de sécurité avec la ps3. Ok...en réallité, à part pour les ps3 + - = à 3.55 ont a rien d'exploitable à part un flash hardware si et seulement si la ps3 à eu un firmware inférieur dans sa vie (c'est vivant sa ? ^^)

Lien vers le commentaire
Partager sur d'autres sites

by marcansoft (727665) on Tuesday October 23, @09:04PM (#41747075) Homepage

The first-stage bootloader is in ROM and has a per-console key which is effectively in tamper-resistant silicon. The second-stage bootloader (bootldr) is encrypted with the per-console key, but is not upgradable and is the same for all consoles (other than the encryption wrapper around it). This second-stage bootloader verifies lv0. Sony signed lv0 using the same broken process that they used for everything else, which leaks their private key. This means that the lv0 private key was doomed from the start, ever since we demonstrated the screwup at the Chaos Communication Congress two years ago.

However, because lv0 is also encrypted, including its signature block, we need that decryption key (which is part of bootldr) before we can decrypt the signature and apply the algorithm to derive the private key. We did this for several later-stage loaders by using an exploit to dump them, and Geohot did it for metldr (the “second root” in the PS3′s bizarre boot process) using a different exploit (we replicated this, although our exploit might be different). At the time, this was enough to break the security of all released firmware to date, since everything that mattered was rooted in metldr (which is bootldr’s brother and is also decrypted by the per-console key). However, Sony took a last ditch effort after that hack and wrapped everything after metldr into lv0, effectively using the only security they had left (bootldr and lv0) to attempt to re-secure their platform.

Bootldr suffers from the same exploit as metldr, so it was also doomed. However, because bootldr is designed to run from a cold boot, it cannot be loaded into a “sandboxed” SPU like metldr can from the comfort of OS-mode code execution (which we had via the USB lv2 exploit), so the exploit is harder to pull off because you don’t have control over the rest of the software. For the exploit that we knew about, it would’ve required hardware assistance to repeatedly reboot the PS3 and some kind of flash emulator to set up the exploit with varying parameters each boot, and it probably would’ve taken several hours or days of automated attempts to hit the right combination (basically the exploit would work by executing random garbage as code, and hoping that it jumps to somewhere within a segment that we control – the probabilities are high enough that it would work out within a reasonable timeframe). We never bothered to do this after the whole lawsuit episode.

Presumably, 18 months later, some other group has finally figured this out and either used our exploit and the hardware assistance, or some other equivalent trick/exploit, to dump bootldr. Once the lv0 decryption key is known, the signing private key can be computed (thanks to Sony’s epic failure).

The effect of this is essentially the same that the metldr key release had: all existing and future firmwares can be decrypted, except Sony no longer has the lv0 trick up their sleeve. What this means is that there is no way for Sony to wrap future firmware to hide it from anyone, because old PS3s must be able to use all future firmware (assuming Sony doesn’t just decide to brick them all…), and those old PS3s now have no remaining seeds of security that aren’t known. This means that all future firmwares and all future games are decryptable, and this time around they really can’t do anything about it. By extension, this means that given the usual cat-and-mouse game of analyzing and patching firmware, every current user of vulnerable or hacked firmware should be able to maintain that state through all future updates, as all future firmwares can be decrypted and patched and resigned for old PS3s. From the homebrew side, it means that it should be possible to have hombrew/linux and current games at the same time. From the piracy side, it means that all future games can be pirated. Note that this doesn’t mean that these things will be easy (Sony can obfuscate things to annoy people as much as their want), but from the fundamental security standpoint, Sony doesn’t have any security leg to stand on now.

It does not mean that current firmwares are exploitable. Firmware upgrades are still signed, so you need an exploit in your current firmware to downgrade. Also, newer PS3s presumably have fixed this (probably by using newer bootldr/metldrs as trust roots, and proper signing all along).

….

The keys are used for two purposes: chain of trust and chain of secrecy. The compromise of the keys fully compromises the secrecy of the PS3 platform permanently, as you can just follow the links down the chain (off-line, on a PC) and decrypt any past, current, or future firmware version. Current consoles must be able to use any future firmware update, and we now have access to 100% of the common key material of current PS3s, so it follows that any future firmware decryptable by current PS3s is also decryptable by anyone on a PC.

However, the chain of trust can be re-established at any point along the line that can be updated. The chain of trust is safely rooted in hardware that is near impossible to modify (i.e. the CPU’s ROM and eFuse key). The next link down the chain has been compromised (bootldr), and this link cannot be updated as it is specific to each console, so the chain of trust now has a permanent weak second link. However, the third link, lv0, can be updated as it is located in flash memory and signed using public key crypto. This allows Sony to secure the entire chain from there onwards. Unless you find a vulnerability in these updated links, you will not be able to attack them directly (applications, e.g. homebrew software, are verified much further down the chain). The only guaranteed way to break the chain is to attack the weak link directly, which means using a flash writer to overwrite lv0. Once you do so, the entire chain collapses (well, you still need to do some work to modify every subsequent link to turn off security, but that is easy). If you have old firmware, you have at least some other weak links that, when compromised, allow you direct access to break the bootldr link (replacing lv0), but if you run up to date firmware you’re out of luck unless you can find a weakness or you use hardware.

Old PS3s are now in the same boat as an old Wii, and in fact we can draw a direct comparison of the boot process. On an old Wii, boot0 (the on-die ROM) securely loads boot1 from flash, which is securely checked against an eFuse hash, and boot1 loads boot2 but insecurely checks its signature. On an old PS3, the Cell boot ROM securely loads bootldr from flash, which is securely decrypted and checked using an eFuse key, and then bootldr loads lv0 but checks its signature against a hardcoded public key whose private counterpart is now known. In both cases, the system can be persistently compromised if you can write to flash, or if you already have code execution in system context (which lets you write to flash). However, in both cases, you need to use some kind of high-level exploit to break into the firmware initially, particularly if you have up-to-date firmware. It just happens that this is trivial on the Wii because there is no game patch system and Nintendo seems to have stopped caring, while this is significantly harder on the PS3 because the system software has more security layers and there is a game patch system.

….

The name is presumably wrong – they would be the bootldr keys, as the keyset is considered to “belong” to the entity that uses those keys to check and decrypt the next thing down the chain – just like the metldr keys are the keys metldr uses to decrypt and verify other *ldrs, the bootldr keys are the keys bootldr uses to decrypt and verify lv0.

Anyway, you’re confusing secrecy with trust. These keys let you decrypt any future firmware; as you say, if they were to “fix” that, that would mean new updates would not work on older machines. However, decrypting firmware doesn’t imply that you can run homebrew or anything else. It just means you can see the firmware, not actually exploit it if you’re running it.

The only trust that is broken by this keyset (assuming they are the bootldr keys) is the trust in lv0, the first upgradable component in the boot process (and both it and bootldr are definitely software, not hardware, but bootldr is not upgradable/replaceable so this cannot be fixed). This means that you can use them to sign lv0. Period. Nothing more, nothing less. The only things that these keys let you modify is lv0. In order to modify anything else, you have to modify everything between it and lv0 first. This means that these keys are only useful if you have write access to lv0, which means a hardware flasher, or an already exploited console, or a system exploit that lets you do so.

….

Oh, one more thing. I’m assuming that these keys actually should be called the bootldr keys (as in the keys that bootldr uses to verify lv0), and that the name “lv0″ is just a misnomer (because lv0 is, itself, signed using these keys).

If this keyset is just what Sony introduced in lv0 after the original hack, and they are used to sign everything *under* lv0 and that is loaded *by* lv0, then this whole thing is not newsworthy and none of what I said applies. It just means that all firmwares *to date* can be decrypted. Sony will replace this keyset and update lv0 and everything will be back at step 1 again. lv0 is updatable, unlike bootldr, and is most definitely not a fixed root of trust (unlike metldr, which was, until the architecture hack/change wrapped everything in lv0). If this is the case, color me unimpressed.

…..

by marcansoft on Wednesday October 24, @01:04AM (#41748707) Attached to: PS3 Encryption Keys Leaked

Nevermind, I just checked. They are indeed the bootldr keys (I was able to decrypt an lv0 with them). Consider this confirmation that the story is not fake.

Bonne lecteur les gars

Lien vers le commentaire
Partager sur d'autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant
 Share

Annonces