это? набор данных, не более того. откуда такая уверенность что это ключи?

Например написанное английским по белому слово KEYS.
Читать ключи конечно надо наоборот. Например первый ключ:

0300000000004000BB52EE836D440F4BAFB6221A9CAABB1E41 85BC67BDCDC738E13CED75E38E39EC118A695A1280F0241EDE 40D348F18B52772CC81C653C23BAC437464DFD5923D1797A9B A2F28E6A948ECEB367411DB1F7ED62C4FD04086C8DA5BE19A3 C09098631579E05DFA5DC598BF4C81B37C49F8E398983710A5 70781610D4AF63034766C9

читается так E=0040000000000003
N=C966470363AFD410167870A510379898E3F8497CB3814CBF 98C55DFA5DE07915639890C0A319BEA58D6C0804FDC462EDF7 B11D4167B3CE8E946A8EF2A29B7A79D12359FD4D4637C4BA23 3C651CC82C77528BF148D340DE1E24F080125A698A11EC398E E375ED3CE138C7CDBD67BC85411EBBAA9C1A22B6AF4B0F446D 83EE52BB

Можно попробовать факторизовать N. Если после часа разложение не будет найдено, а винда начнет орать, что память кончается, есть большая вероятность, что это RSA-ключ.

И наконец SHA1(0300000000004000BB52EE836D440F4BAFB6221A9CAAB B1E4185BC67BDCDC738E13CED75E38E39EC118A695A1280F02 41EDE40D348F18B52772CC81C653C23BAC437464DFD5923D17 97A9BA2F28E6A948ECEB367411DB1F7ED62C4FD04086C8DA5B E19A3C09098631579E05DFA5DC598BF4C81B37C49F8E398983 710A570781610D4AF63034766C9)=E9EFF4BFAA5393217CA6B 17755FC3E1415658E9A, а это неопровержимо доказывает, что перед нами ROOT_KEY.

http://forum.gsmhosting.com/vbb/show...9&postcount=40
Стоит иногда оглядываться вокруг...

Строго говоря, размер выходного блока у RSA не равен размеру входного.

Достаточно 2 в 63.
http://en.wikipedia.org/wiki/SHA#Cryptanalysis_of_SHA-1
http://www.rsa.com/rsalabs/node.asp?id=2927

Если специалисты Nokia оставили хакеру возможность подменить открытый ключ, я бы назвал их просто неграмотными дилетантами. Думаю, не все так просто. Вполне возможно, что открытые ключи хранятся в MCU, но скорее всего заменить их будет невозможно, например, потому, что перед их использованием будет вычислен их хэш и сравнен с хэшэм, хранящимся в недоступном для хакера месте. Целиком ключ хранить в RAP или еще где, возможно, не стали из экономии памяти, если уж Nokia открытые ключи в прошивку засунула.

Можно тут Maple напрячь. Лучше ее, полагаю, никто не справится.

Не могу сказать, чтобы Дежан сообщил нечно секретное и суперполезное.

Ну так, а я о чем Ну откопал sniper эти ключи, и что дальше?? Про них уже было известно давно....

Поправка. Публичная экспонента действительно 3. Видимо байты 40 00 засунули туда, чтобы напарить меня.
Функция F(X) найдена и все ключи разложены по полочкам, какой куда.

Простая подмена ключей на первый взгляд выглядит невозможной. Но некоторые вещи еще стоит проверить на прочность.

Во-первых, не так уж давно.
Во-вторых, не всем. Многие до сих пор доказывают мне, что там AES с ключом в бутроме.
В-третьих, написанное Дежаном это не более чем общие слова. У меня же вся защита расписана от и до с конкретными адресами и т.д.

я понимаю, что я не сильный криптограф, я всего лишь программер гдето там, любящий нокию. но даже меня это возмутило, хэш есть хэш, и его значение практически всегда будет разным, так что реализовать защиту, основываясь на хранении в рапе хэшей(кстати непонятно чего) невозможно. второе, рап=это тот же техуровень у ти что и 2020 проц. а как у них устроены, ну очень хорошо известно-открытые ключи хранятся в защищённой от изменения части.
2 FractalizeR: ну очень прошу, добавьте в скрипт сетуловского саппорта поддержку двойных номеров карт, напряг однако

Я, честно говоря, не знаю, как устроена защита Nokia. Но мысль у меня была такова. Допустим, я Nokia разработчик. Я не могу целиком в RAP или куда-то там еще засунуть все мои открытые ключи, что я использую (не знаю, правда, по какой причине. Что за процы такие модные новые, если у них памяти не хватает ключи разместить). Положить их в прошивку просто так я тоже не могу. Запатчат ведь. Тогда я делаю так. Кладу открытые ключи в прошивку, а их хэши - в защищенную область памяти.
Нужно проверить подпись. Я беру открытый ключ из прошивки, вычисляю его хэш, сверяю этот хэш с тем, что у меня в защищенной области записано. Если хэши совпадают - значит, мой ключ не запатчили и я могу им проверять что хочу. Если не совпадают, я просто не включаю телефон.

Но такая схема теоретически содержит уязвимость, если известна хэш-функция, которая вычисляется для ключей. Можно попробовать найти другой открытый ключ, хэш которого будет совпадать с хешем данного ключа. Соответственно, закрытый ключ и, вуаля, подписывай своими ключами что хочешь.

Т-с-с.... Это страшная тайна!

FractalizeR абсолютно прав. Точнее хешем защищен только один ключ, которым в свою очередь защищены все остальные ключи.
Всем остальным, кто не понял.... Открытый ключ потому и называется открытым, что нет никакой нужды его прятать. Но все асимметричные алгоритмы сами по себе абсолютно беззащитны от подмены открытого ключа в паре с закрытым. Поэтому открытые ключи необходимо защищать от подмены чем-то еще. В данном случае используется двухуровневая RSA-защита с защитой последнего ключа хешем.
На данный момент я вижу 3 возможности решения проблемы:
1. Перезапись хеша в RAPe. Я думаю, Дежан знает, как это сделать. Возможно даже его бокс основан на этом. Мне эта задача пока не по зубам.
2. Атака на SHA1. Я знаю, что китайцы его поломали. Точнее они не доломали его до конца, но сильно понизили разрядность задачи. Анализ SHA1 для меня слишком сложен, к тому же программист из меня ниже среднего.
3. Атака на RSA-1024. Представляется мне наиболее реальным решением в силу некоторых особенностей его реализации в ВВ5.

Снова встал вопрос коммерческой целесообразности проекта. До сих пор все делалось из спортивного интереса в свободное время. Теперь придется потратить время, силы и деньги. Работа остановлена на неопределенный срок до выяснения финансовых перспектив.

а что ломать то в ша1? технически подобрать набор данных с требуемой коллизией возможно, вот только смысл этого? набор мусора получится и всё. второе, r&d сертификат у народа есть на руках соответственно все функции юзаемые рапом известны. я всё равно считаю что в роме находится корневой открытый ключ, иной защиты просто не надо

зы. то как лазер патчит 2020 по его же словам так же делается деджаном патч мцу.

Паченые Деджаном тела шил лично, Лазарь же шить - не рекомендует Видать технология отличается.

после того как деджан попатчит тело, сделать полностью отлоченным нет проблем))))
только щас догнал, 2 sniper ты ведь сам говорил что ключи в мцу отличаются от версий и моделей? какой же тогда хэш???????

ОФФтопик: sniper уж поверь, если тебе этот камень по зубам + ты сможешь его защитить, то сможешь зработать огромную кучу бабла... Даже если сам будешь делать, не делясь секретом - сев в Москве или в др. городе Европы...

В защищенных областях находятся обширные зоны, заполненные байтами 00 или FF, которые наверняка игнорируются RAPом. Теоретически возможно засунуть в эти зоны некий мусор, который в совокупности с измененной прошивкой даст тот же хеш.

Я тоже считаю, что это обеспечило бы намного лучшую защиту. Но факты говорят об обратном. Зачем тогда хеш ключа?

Невнимательно читаешь. Ключей там много. Могут отличатся все, кроме ROOT_KEY. Соответственно хеш будет тем же. Зависимости ключей от модели вообще не вижу. В разных версиях одной модели ключи одинаковые(может и есть разные, но я такого пока не видел). Кроме того на большинство моделей некоторые части прошивки существуют в 2-х вариантах, то есть для 2-х разных ROOT_KEY. Смысла этого пока не понял.

4 Bruce Willis: защитить это принципиально невозможно. А возможности делать самому ограничены количеством рук, которых у меня две. И временем, которое требуется на 2 прошивки(первая для разлока, вторая для уничтожения патча, дабы кто-нибудь хитрожопый не слил его программатором) + редактирование 308-го блока.

от это да народ, хэш ша1 имеет коллизионную стойкость 2 в 80 степени.
так что не надейтесть сделать какойто код, потом дополнить мусором и получить требуемый хэш)))
2 sniper, ага, когда много буков, ниасиливаю, есть такой дефект

Честно говоря, я не уверен, что бокс такой вообще существует...
Не то, чтобы SHA1 вообще сломали... Дело вот в чем. Допустим есть некий массив данных. Для него вычислен SHA1. Так вот доказано, что можно вычислить/найти другой массив данных, которой можно прибавить к первому, либо изменить байты в первом массиве так, чтобы значение хэш-функции осталось тем же за количество операций, равное не 2^80, как предполагали разработчики SHA1, а за 2^63. Т.е. сложность подбора снизилась значительно. Но не то, чтобы такой подбор был под силу любому из современных компьютеров. Скорее всего, только АНБ располагает необходимым оборудованием для произведения таких вычислений. И потом, вероятность коллизий была доказана только теоретически. На сегодняшний день неизвестно ни одного случая реального применения этой теории. Но не исключено, что работы в этом направлении будут продолжены и количество необходимых вычислений еще понизится. Если понизится до 2^55, 2^56, не исключено, что такого рода вычисления станут подвластны домашним компьютерам
По данным RSA Inc, в прошлом году компьютер, стоимостью в $10 млн. мог взломать 1024bit RSA примерно за год
Скинемся?
http://www.rsa.com/rsalabs/node.asp?id=2004

2sniper:
Кстати, те безобразия, что Nokia делает с ключами напомнили мне RSA-PSS: http://www.rsa.com/rsalabs/node.asp?id=2005

А не проше скинутся компьютерами ? Израильтяне вроде в прошлом году доказали, что RCA с длиной ключа в 128 бит ломается оч. даже быстро.

На mobile-files.ru и на черном форуме пару дней назад фотки его лежали. Сейчас найти не могу, наверно поубивали темы. Если фотки существуют, наверно и бокс существует, Дежан вроде не был пока замечен в таких провокациях...
Поэтому я и писал "в силу некоторых особенностей реализации". Там имелся в виду прямой взлом методом грубой силы, то есть факторизация модуля с последующим вычисление приватной экспоненты. Но в некоторых частных случаях возможны атаки другого рода.
И вообще криптостойкость RSA не доказана, и есть мнение, что никогда не будет доказана. Она основана на том, что ПОКА нет эффективных методов факторизации больших чисел. Но ПОКА имеет свойство кончаться в самый неожиданный момент.