PDA

Просмотр полной версии : Архитектура и Защита BB5


neoalex
19.09.2006, 22:57
Вот решил написать немного о структуре платформы BB5....
Может кому не интересно, ногами не пинать :shy2:

Платформа BB5 (Base Band 5) основана на процессоре RAP3G
и OMAP1710
RAP3G - Нокиевское брэнд процессора
OMAP1710 производится Texas Instruments
OMAP:
289 шаров 12х12 мм MicroStar BGA™ Package

Up to 220 MHz ARM926TEJ V5 architecture (maximum frequency)
32KB I-cache; 16KB D-cache
Java acceleration
Support for 32-bit and 16-bit (thumb mode) instruction sets
Data and program MMUs
Two 64-entry translation look-aside buffers (TLBs) for MMUs
17-word write buffer

Security Acceleration in Hardware
Secure bootloader
48 kB of secure ROM
16 kB of secure RAM
Hardware acceleration for security standards and random number generator
Unique die ID cell
Third-party Security software library

кому интересно подробнее и с картинками
http://focus.ti.com/general/docs/wtbu/wtbuproductcontent.tsp?templateId=6123&navigationId=11991&path=templatedata/cm/product/data/omap_1710
http://focus.ti.com/lit/ug/spru667/spru667.pdf

RAP3G ASIC is a 3G Radio Application Processor.
проц оптимизирован для работы в сетях GSM/GPRS/EDGE/UMTS
RAM memory is integrated into RAP3G.
In general RAP3G consists of three separate parts:
• Processor subsystem (PSS) that includes the main processor and related functions
• MCU peripherals that are mainly controlled by MCU
• DSP peripherals that are mainly controlled by DSP
RM-57/58
RAP3G memories NOR flash and SDRAM

Modem memory consists of 64 Mbit SDRAM and 64 Mbit NOR flash memories.
SDRAM is a dynamic memory for ISA SW.
NOR is used for ISA SW code and PMM data and CDSP SW code.
16-bit wide SDRAM interface consists of DDR SDRAM controller from ARM, DCDL/DLLs and wrapper logic. 32-bit
wide flash interface is implemented by using EMC module.
SDRAM core voltage (1.8V) is generated from Retu VDRAM and I/O voltage (1.8V) is from VIO. NOR flash uses VIO
for both core and I/O voltages.



ARM929 MCU - ОСНОВНОЙ ПРОЦЕССОР RAP3G
lEAD3 PH3 - DSP
ПИТАНИЕ
Core Voltage VCORE=1,4V (local mode) генерируется TAHVOВ спящем режиме VCORE понижается до 1,05v
I/O voltage VIO=1,8v генерируется RETU
VRFC приходит от RETU
RFCLK=38,4 Mhz основная частота
SleepCLK=32,768Khz управляется RETU

RETU - основная микросхема управления питанием ASIC
Специализированная микросхема (ASIC) - это микросхема,
предназначенная не для общего использования, а для конкретного устройства
или проекта.
И наоборот, микропроцессор не может считаться специализированным,
т.к. его можно использовать для многих целей.

RETU частично использует функции UEM в управлении
питанием, но не выполняет функций безопасности UEM
Функции RETU
Включение и рестарт
Обнаружение питания (зарядка) и мониторинг вольтажа батареи
UI функции как например вибра, аудио усилитель, SIM интерфейс
AD конвертер
цифровой интерфейс - CBUS

NPC - Nokia Public Certificate
Контрольная сумма закриптована Nokia Private Key
NPC содержит следующую информацию
Public Key
IMEI
Product code
Bluetuth ID
MAC адресс
Terminal Public Key
Кстати при локе тела в SIM Lock инфа прописывается в "Nokia Private Key"

BB5 телефоны имебт двух процессорную архитектуру
2 процессора EPOC и NOS
EPOC - Отслеживание действий пользователя, NOS - телефона

поэтому структура BB5 подразделяется на 2 части
Cellular Mobile TelePhone - CMT и
Aplication Engine - APE
Что мы и видим при прошивке телефона!
RF, RETU, TAHVO, SDRAM, NOR FLASH - являются частями CMT (управляется RAP3G)
DDR RAM и Nand Flash - APE (управляется OMAP1710)
Между RAP3G и OMAP1710 сушествует шина.
Обе части имеют свои операционные системы.
ОС RAP3G - неизвестна. ОС OMAP1710 - SYMBIAN.
RAP3G - не является процессором для продажи
OMAP - имеет открытую архитектуру, но изготавливается индивидуально для
производителей с миллионым потреблением. OMAP не является в отличии от RAP3G брэндом Nokia.
При локе телефона часть криптованных данных содержится в APE часть в CMT Данные не точные. (Дежан считает что код содержится в RAP3G)
Соответственно возможность разлочки зависит от поиска багов в какой либо OC
APE или CMT. Nokia последующими выходами фирмваре соответственно закрывает эти баги.
Тем более все знают что BB5 на понижение не шьется
Разблокировка возможна с помощью программы Winlock 5 и нокиевской смарт карты SX5.
с таким оборудованием
FPS-10 prommer + CU-4 station + F-Bus Flash Adapter AD-XXFS
Что доступно для сервис центров 3-4 уровня

о безопасности в процессорах OMAP
http://focus.ti.com/general/docs/wtbu/wtbugencontent.tsp?templateId=6123&navigationId=12316&contentId=4629&DCMP=WTBU&HQS=Other+EM+m-shield

Mishael
20.09.2006, 00:32
Молодец! 5 баллов!!!
neoalex, а про WD2 есть такой расклад, и про сониерики?
Хороший материал изложен. И доступно!
Странно что с таким подходом тебя ещё не "озеленили" .....

ujeen
20.09.2006, 08:44
Вопрос к автору статьи: ты сам всё это изложил, либо это копирайт ?
И небольшое замечание : не все пятёрки имеют омаповский проц, 6270 например.

Lider
20.09.2006, 09:20
Разбавлю-ка я инфу своим ворчанием.
1.
копирайт - обязателен ВСЕГДА. Это не ИМХО! Ну да ладно.....
2.
Разблокировка возможна с помощью программы Winlock 5 и нокиевской смарт карты SX5. - ничего подобного. Только восстановление sim-lock. Т.е. - если в АСЦ поступает терминал с установленным операторским локом, а в процессе его ремонта производится замена элементов, связанных непосредственно с локом, то АСЦ, при помощи указанного оборудования обязан по завершении ремонта восстановить операторские локи. После их восстановления удалить их невозможно никаким оборудованием.
3 уровень вообще не попадает в эти процедуры. Не надо вводить людей в заблуждение.
P.S. Я уже не стал заострять внимание на том факте, что далеко не все модели на платформе BB5 имеет два процессора.... ;).
P.P.S. Указанная статья может быть расценена, как заявка на вступление автора в группу "инженеры", НО после доработки, систематизации, внесения необходимых корректив и снабжения иллюстрациями.
Моя оценка - твердая четверка! :)

neoalex
20.09.2006, 09:24
Вопрос к автору статьи: ты сам всё это изложил, либо это копирайт ?
И небольшое замечание : не все пятёрки имеют омаповский проц, 6270 например.

Частично копирайт с gsmhosting, ASIC - можно найти в инете, шиты по OMAP - не секрет... Сам я всего и не мог изложить - я же не проэктировал данную платформу.... Естественно все через поиск... и чтение...:shy2:

neoalex
20.09.2006, 09:36
1 - обязателен ВСЕГДА. Это не ИМХО! Ну да ладно.....
2.
- ничего подобного. Только восстановление sim-lock. Т.е. - если в АСЦ поступает терминал с установленным операторским локом, а в процессе его ремонта производится замена элементов, связанных непосредственно с локом, то АСЦ, при помощи указанного оборудования обязан по завершении ремонта восстановить операторские локи. После их восстановления удалить их невозможно никаким оборудованием.
3 уровень вообще не попадает в эти процедуры. Не надо вводить людей в заблуждение.
P.S. Я уже не стал заострять внимание на том факте, что далеко не все модели на платформе BB5 имеет два процессора.... ;).
P.P.S. Указанная статья может быть расценена, как заявка на вступление автора в группу "инженеры", НО после доработки, систематизации, внесения необходимых корректив и снабжения иллюстрациями.
Моя оценка - твердая четверка! :)

Не восстановление локов оператора карается законом... Для этого и галка соответствующая есть...
Насчет 3 уровня - инфа от German GSM Team.....
картинки прикрепить к сожалению не могу.....

PANUA
20.09.2006, 09:36
Я уже не стал заострять внимание на том факте, что далеко не все модели на платформе BB5 имеет два процессора....
Соответственно имеем инфу, что лок с ОМАП не связан. А не только потому, что так Деджан говорит. Да и открытая архитектура ОМАП не способствует привязке защиты под этот проц.

neoalex
20.09.2006, 09:50
Соответственно имеем инфу, что лок с ОМАП не связан. А не только потому, что так Деджан говорит. Да и открытая архитектура ОМАП не способствует привязке защиты под этот проц.

OMAP делается под производителя.
А как нсчет этого?
M-Shield Hardware Security Technology
Hardware cryptographic accelerators and randon number generator
Public key infrastructure with secure on-chip keys (e-fuse)
Secure booting and flashing
Secure access/restriction to all chip peripherals and memories
Secure DMA transfers
Hardware-based countermeasures against software attacks and cloning
Secure protection of debug, trace, and test capabilities
Hardware-reinforced secure execution and storage environment (Secure Environment) embedding:
A Secure State Machine
Secure RAM for sensitive authorized application execution and secure data storage
Secure ROM with 100+ accessible by authorized applications (Protected Applications)
Secure storage mechanism
Secure signing and flashing tools
IMEI and SIMlock protection software on OMAP-Vox devices Toolkits for development and signature of protected applications running in a secure environment
Security Middleware Component with associated Protected Applications and SDKs
Security packs to strengthen HLOS security

Дежан может быть не прав, а может просто вводить в заблуждение....
Многие считают что OMAP связан с локом...

Lider
20.09.2006, 10:01
Насчет 3 уровня - инфа от German GSM Team.....
Не совсем это, мягко говоря, соответствует действительности.. Ну да ладно.

картинки прикрепить к сожалению не могу.....
Статью подготовьте и можете выслать ее мне на почту.

PANUA
20.09.2006, 10:14
А как нсчет этого?
А хотябы по тому, что производитель сторонний. Для надежной защиты достаточно бутрома. Можно еще вспомнить процедуру железного разлока. Да и не царское это дело с помощью Оси верхнего уровня локи охранять, даж при наличии вышеперечисленных вещей. Уж слишком просто добраться до всего этого извне.

aZzz
20.09.2006, 10:17
Можно еще вспомнить процедуру железного разлока.
в которой омап никак не затрагивается...

alexymca
20.09.2006, 10:18
P.P.S. Указанная статья может быть расценена, как заявка на вступление автора в группу "инженеры",
полностью поддерживаю, давно не встречалось такого толкового и доступного изложения IMXO

neoalex
20.09.2006, 20:53
После всех замечаний решил добавить.

Платформа BB5 (Base Band 5)
основана на процессорах RAP3G и OMAP1710 или OMAP 2420 (n93)

RAP3G - Нокиевский брэнд процессора
Radio Application Processor 3rd Generation)
OMAP1710 производится Texas Instruments

Телефоны BB5 S40 имеют только RAP3G

6270 RAGGSM v1.1 PA product code 4377223
6280 RAP3G v3.00 E product code 4377151
6630 RAP3G v2.10E PA product code 4377061
6680 RAP3G v2.0E PA product code 4377061
6681 RAP3G v2.0E PA product code 4377061
7370 RAPGSM v1.1 PA product code 4377223
E60 RAP3G v2.20E PA product code n/a
E62 RAPGSM v1.1 PA product code n/a
E70 RAP3G v2.20E PA product code n/a
N70 RAP3G v2.20 PA product code 4377103
N72 RAP v2.21E PA product code 4377183
N80 RAP3GS v2.0E PA product code n/a
N90 RAP3G v2.11 PA product code 4396177
N91 RAP3G v2.20E PA product code n/a
N93 RAP3GS v2.0E PA product code n/a

OMAP

6630 OMAP 1710 product code 4377049
6680 OMAP 1710 product code 4377049
6681 OMAP 1710 product code 4377049
E60 OMAP 1710 product code n/a
E62 OMAP 1710 product code n/a
E70 OMAP 1710 product code n/a
N70 OMAP 1710 product code 4377049
N72 OMAP 1710 product code 4377049
N80 OMAP 1710 product code n/a
N90 OMAP 1710 product code 4396177
N91 OMAP 1710 product code 4377207
N93 OMAP 2420 product code n/a

TAHVO

3250 TAHVO v5.2 LF product code 4376533
6270 TAHVO v5.2 LF product code 4376533
6280 TAHVO v5.2 LF
6630 TAHVO v4.1 product code 4376383
6680 TAHVO v4.1 product code 4376383
6681 TAHVO v4.1 product code 4376383
7370 TAHVO v5.2 LF product code 4376533
E60 TAHVO v4.1 product code 4376383
E62 ? product code n/a
E70 TAHVO v5.2 LF product code 4376533
N70 TAHVO v4.1 product code 4376383
N72 TAHVO v5.2 LF product code 4376533
N80 BETTY v2.1 LF product code 4376535
N90 TAHVO v4.1 product code n/a
N91 TAHVO v5.2 LF product code 4376533
N93 BETTY v2.1 LF product code 4376535

RETU

3250 RETU v3.02 product code 4396177
6270 RETU v3.02 product code 4396177
6280 RETU v3.02 product code 4396177
6630 RETU v3.02 product code 4396177
6680 RETU v3.02 product code 4396177
6681 RETU v3.02 product code 4396177
7370 RETU v3.02 product code 4396177
E60 RETU v3.02 product code 4396177
E62 ? product code n/a
E70 RETU v3.02 product code 4396177
N70 RETU v3.02 product code 4396177
N72 RETU v3.02 product code 4396177
N80 VILMA v1.04C product code 4396281
N90 RETU v3.02 product code 4396177
N91 RETU v3.02 product code 4396177
N93 VILMA v1.04C product code 4396281

RF

3250 AHNE v3.01A product code 4380129
6270 AHNE v3.01A product code 4380129
6280 PIHI v2.11 product code 4396245
6630 HINKU v3.10A + VINKU v3.14A product code n/a + n/a
6680 HINKU v3.10A + VINKU v3.14A product code
6681 HINKU v3.10A + VINKU v3.14A product code
7370 AHNE v3.01A product code 4380129
E60 HINKU v3.10A + VINKU v3.14A product code n/a + n/a
E62 AHNE v3.01A product code 4380129
E70 HINKU v3.10A + VINKU v3.14A product code n/a + n/a
N70 HINKU v3.10A + VINKU v3.14A product code 4380039 + 4380041
N72 HINKU v3.10A + VINKU v3.14A product code 4380039 + 4380041
N80 PIHI v2.22A product code 4396275
N90 HINKU v3.10A + VINKU v3.14A product code n/a + n/a
N91 HINKU v3.10A + VINKU v3.14A product code n/a + n/a
N93 PIHI v2.22A product code 4396275

neoalex
20.09.2006, 22:30
Платформа BB5 (Base Band 5)


очень толковая статья, все в аттаче по просьбе Lider :)

Здесь был вложен файл: Арх BB5.doc (365.5 Кб), но к сожалению был утерян. Если он у Вас есть, свяжитесь с администрацией для его восстановления. Спасибо.

xTroy
20.09.2006, 22:38
P.P.S. Указанная статья может быть расценена, как заявка на вступление автора в группу "инженеры"

Согласен так же. =) Пообщался с ним в аське. Дельный чел.

alexymca
20.09.2006, 22:54
Согласен так же. =) Пообщался с ним в аське. Дельный чел.
Господа, я думаю этот вопрос надо обсуждать в соответствующем разделе форума
http://www.mcrf.ru/forum/showthread.php?t=6307
а здесь просьба высказываться по существу:)

barabaka
21.09.2006, 02:40
Кстати при локе тела в SIM Lock инфа прописывается в "Nokia Private Key"

Скорее всего неправильный перевод. Написанное- абсурд. Могу предложить вариант : "Кстати при локе тела в SIM Lock инфа криптуется используя "Nokia Private Key""

Lider
21.09.2006, 09:47
neoalex, уважаемый коллега, позволю себе несколько критических замечаний, по теме и содержанию вашей статьи.
1. Вы торопитесь. Это не относится ни к теме, ни к содержанию. Это относится к тому, как Вы решили отнестись к моему предложению доработать статью. Скажу так, Вы ее не доработали. Вы ее красочно оформили. Этого явно недостаточно. :(
2. В части касающейся языка статьи. Либо пишите на английском (я считаю, что те, кому она адресова в достаточной мере владею языком), либо переводите полностью, с разъяснением терминологии широкому кругу читателей.
3. Достаточно сумбурно описано разделение моделей на одно- и двухпроцессорные системы.
Мне совершенно не хочется быть соавтором Вашей статьи. Я уверен в Ваших силах, коллега! Очень прошу, не останавливайтесь! Продолжите доработку.
При этом рекомендую либо воздержаться от изложения сомнительных фактов и мнений, либо выделите их в отдельный раздел.
В теме, где идет голосование по Вашей кандидатуре, мнения разделились..... Я, лично, очень хочу проголосовать "ЗА". Но, по состоянию на текущую дату и время не могу этого сделать.
Не надо торопиться, голосование, я надеюсь, что не встречу возражений со стороны Администрации, не будет закрыто.
Удачи, Вам!
С должным терпением я и весь коллектив форума будет ждать окончательного варианта обзора. Тема нова, животрепещуща, актуальна и, поэтому любой анализ и систематизация уже очень интересна!
Еще раз удачи!

neoalex
09.10.2006, 00:43
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 100 сообщение(ий)) ::.

Alex999
07.03.2007, 16:26
Вопрос: а прошивка после заливки в телефон остается криптованой или RAP ее декриптует и дамп уже не криптованый ? Мне почемуто кажется что некриптована(по крайней мере часть симбиана) иначе OMAP не смог бы работать.

Lider
07.03.2007, 16:38
Alex999, Вы, уважаемый, определитесь с существом вопроса...

Это вообще к чему в этом разделе и зачем?
Вопроы криптования и даже типы ключей мы уже обсуждали здесь.

Alex999
07.03.2007, 17:47
Вопрос по существу такой: если APE в телефоне тоже закриптована сложным образом(не ксоризацией и т.п. а стойким алгоритмом - в чем я лично сомневаюсь) то как осуществляется работа OMAP(открытая архитектура) ? Схема NAND-RAP-шина-OMAP противоречит приведенной информации в первом посте:
RF, RETU, TAHVO, SDRAM, NOR FLASH - являются частями CMT (управляется RAP3G)
DDR RAM и Nand Flash - APE (управляется OMAP1710)
Я же склоняюсь к схеме что ключ дешифровки(это если АРЕ зашифрована) тот же что и СМТ(а может и не тот) и передается OMAP-у RAP-ом в процессе загрузки терминала по шине. Вот я и хочу узнать зашифрована ли информация в Нанд флешке после прошивки АРЕ(так что OMAP не может непосредственно ее выполнять), вопрос к людям кто непосредственно занимался этим вопросом, и если создал тему не в том разделе - извините.

Lider
07.03.2007, 18:30
в чем я лично сомневаюсь
Очень жаль, что не прочитав всего, что изложено по этой теме в доступных Вам разделах, Вы высказываетесь столь категорично.
создал тему не в том разделе
И тем никаких Вы не создавли..... к слову.
Это читайте:
http://www.mcrf.ru/forum/showthread.php?t=8755
вникните в существо вопроса - тогда еще раз задайте его!
P.S. Функция XOR, на моей памяти, в GSM отрасли использовалась для защиты лишь однажды. На заре эры Martech ксорил слитые им FF. И фсё......
Поправьте меня, камрады, если я заблуждаюсь!

tevel
08.03.2007, 01:51
Alex999, прошивка в бб5 и смт и апе изначально не криптована:)

Botya666
08.03.2007, 08:57
P.S. Функция XOR, на моей памяти, в GSM отрасли использовалась для защиты лишь однажды. На заре эры Martech ксорил слитые им FF. И фсё......
Поправьте меня, камрады, если я заблуждаюсь!
Вахида и УСТ про забыл

ildaris
08.03.2007, 15:38
fixed

Lider
08.03.2007, 16:51
ildaris, тема не о том. Это раз.
XOR там не применяется. Это два.
Первый и последний раз предупреждаю. Это три.

freejc
18.06.2008, 14:09
Большое спасибо что создали такой топик, хорошо раскрывает глаза и ставит всё ну или почти всё на свои места.
Не согласен с тем что BB5 на понижение не шьётся, ещё как шьется есть функция "downgrade" это и есть понижение прошивки кстати эта функция только на ВВ5 потому что другие платформы в этом не нуждаются.

murik
18.06.2008, 14:40
freejc, Вы дату последнего сообщения смотрели?:kos:
Это так, к сведению для всех!
В движке Форума есть одна полезная штука, реализованная и у нас, а именно:
В нижнем левом углу каждого поста вместе с другими иконками имеется вот такая http://www.mcrf.ru/forum/images/buttons/report.gif, котрая означает ничто иное, как "Пожаловаться на сообщение". Это означает то, что если Вы обнаружили нарушение Правил, которое упустили модераторы и администраторы, то Вы можете написать свой комментарий, и копия этой жалобы будет помещена в соответствующий раздел после чего, соответственно, будут приняты адекватные меры к нарушителю и топик не будет загаживаться ненужными постами :wink: