Hi Leute,
moch hats interessiert und da Ich etwas Langeweile hatte,hab Ichs mir dann mal übersetzt.
Hoffe es klärt einige Fragen,daher möchte Ich es mit Euch teilen!
Von FW 3,60 an, Sony hat einen neuen Schritt bei der Authentifizierung im Iso-Modul "spu_token_processor.self" hinzugefügt.
Dieser neue Schritt, ist eine Verifizierung der digitalen Signatur mit ECDSA ("Elliptic Curve Digital Signature Algorithm)
Der alte Token,
den die IDPS(IDPS ist ein 16 Bit Wert,der Konsolenspezifische Informationen enthält,die noch nicht genau bekannt sind) von der Maschine nimmt,
bleibt,
als die Version des Token (1),
die Anordnung der Flags
und der HMAC-Hash der vorherigen Teile,
gültig als solche.
[BLINK]Kein Schlüssel (AES, HMAC) wurde in dem neuen Modul verändert.![/BLINK]
Jedoch nach der Entschlüsselung des Tokens,sind die IDPS und die Überprüfung der Maschine, mit der das Token eine digitale Signatur Überprüfung aller verschlüsselten Token ausführt,(0x50 Bytes)lang.
Dies führt zum SHA-1 Hash des gesamten Token (wie Sony zum Zeitpunkt der digitalen Signatur durchgeführt hat) und gibt die Signatur zum überprüfen frei, wenn das Token authentisch betrachtet wird und gibt es, sowohl verschlüsselt, als auch entschlüsselt, zurück (dies mit dem Hash hmac validiert auf 0), wie passiert in 3,56 und tiefer.
In dem Fall, dass die digitale Signatur fehlschlägt, rückschliessend daß das Token nicht gültig ist, als würde es passieren, wenn die Token Entschlüsselung fehlschlägt, oder einer Ihrer früheren Prüfungen (HMAC berechnet speichernd das Token mit dem Token, die IDPS, ...).
In diesem Fall, wird es
wieder einen leeren Puffer (anstelle des entschlüsselten Token)
und eine mit einem Token vorbereitete,
aber ohne aktives Flag,
der auch mit einer digitalen Signatur, wie in 3,56 und unteren passiert,
geben.
Kurz: es ist nicht möglich, eine Maschinen QA in der Firmware 3.60 und höher zu setzen,
es sei denn,
Sie Patchen das Modul (also arbeiten nur in dieser kundenspezifischen Firmware ),
oder besorgen sich ein ganzes Token und eine gültige digitale Signatur dafür.
Da das Token durch die IDPS variiert um universell existierende Token zu verhindern sollte nur die IDPS das Token kennen, und ändert die IDPS des Abschnitts 1 eines EID0 (das ist, was das Iso-Modul prüft),
aber dies könnte zu unbeabsichtigten Folgen in einigen Fällen führen !
Hab leider den Button für den versteckten Text nicht gefunden,wenn das zu lang ist,bitte ändern.Danke!
Quelle:
Wen das ECDSA Verfahren interessiert,findet hier weitere wichtige Informationen: