質疑《我的CA解密全過程》

以下引用在網上找到的一篇有關同方ca智慧卡破解的文章《我的ca解密全過程》

我定購了一套付費頻道，但是其他兩台機頂盒卻只能收看60多套免費節目。如果讓另外兩台機頂盒也能收看到我定購的付費頻道，則意味著我要支付三倍的收視費！！！！nnd

嘿嘿，這個難不倒咱，搗鼓了幾天，研究ca小有成果，拿出來給分享下。

機頂盒加密系統稱之為條件接受系統（contional access），南京廣電說的ca系統就是它了（上網查了下，是永新同方的）。付費頻道實際上就是ca加密的頻道，必須經過廣電授權才能夠解密。mpeg2碼流經過通用加擾器加擾後，需要金鑰進行還原，這個金鑰就是cw（control word）。不同家ca的解密過程就是對cw復原，並把它傳送到機頂盒解擾器。

在圖1 中，機頂盒通過高頻頭收下來是加擾並復用過的ts，首先機頂盒對它進行解復用（demux），並提取出其中的加密過的ecm、emm傳送給ic卡，ic卡計算出cw控制字後傳送給解擾器，解擾器根據控制字還原加擾碼流，輸出清流，也就是沒有加密的碼流傳遞給解碼器，供解碼器進行mpeg2正常解碼。cw一般為8個位元組，每隔5－10秒鐘更換一次。

從上面的ca解密原理中可以看出其中可能存在的安全漏洞。在ic卡的條件接收系統傳遞cw的這個過程中，是可能被攻破的。

一般來說，ic向解擾器傳遞cw有三種可能：

第一種情況：直接傳遞明文。

這種情況最簡單，只要把cw捕捉下來傳遞給其他機頂盒即可。

第二種情況：加密傳送，金鑰與機頂盒號無關。

這種情況也簡單，直接傳遞cw密文即可。

第三種方法：加密傳送，金鑰與機頂盒號相關。

這種方法非常複雜，一定要推算出它的加密方法才行。按照現在通用的加密演算法，如rsa或者des，要推算出它的cw幾乎是不可能的。

我在電子市場上買了個讀卡器，稍加改造，擷取cw並通過rs232傳送到我的pc上。圖2為pc捕獲到的同方ca回傳的控制字。

在圖2中可以看出，可以看出它的cw是沒有加密的（夠笨的^_^），而且差不多10秒鐘換一次。

已經分析得差不多了，下面問題的關鍵就是捕獲到cw，並把捕獲到的cw傳送給其他機頂盒，就大功告成了。哈哈哈。經過連續幾周的折騰，基本搞定了破解方案。

（1）在電子市場買了乙個讀卡器，改裝成一張cw捕捉卡，它的作用是將ic卡（條件接受系統）中回傳資訊拷貝併發送到rs232介面。

（2）pc機接收傳送過來的cw資訊，顯示在螢幕上，並通過區域網udp組播協議傳送到其他未授權機頂盒。

（3）最後，這也是最複雜的乙個部分，需要做乙個cw接收卡。它的作用是通過ip網口接收udp傳送過來的cw，並通過iso7816介面傳送給機頂盒。說白了，就是複製了一張ca卡。

萬事具備、只欠成功了！！

需要注意的是，一定要使用非同方ca的機頂盒，這是本大俠鏖戰2個禮拜的成就。原因是裝有同方ca的機頂盒在開機時候與智慧卡之間做了乙個掩耳盜鈴的偽配對。一旦避開這個過程，配對就不發揮作用了。哈哈哈。現在我們家的三颱電視都可以正常收看到付費頻道了。

我質疑：

1，使用簡單的智慧卡讀取裝置，在智慧卡和機頂盒插槽之間監聽了通訊內容後，如何在龐大的通訊內容裡，能夠準確的判斷出控制字cw的內容？這說明作者事先就知道同方ca的智慧型**訊協議的細節。

2，既然成功了，作者為什麼不把他使用的智慧卡監聽裝置和監聽軟體的名字都列出來，成為一篇傻瓜式的教學文件呢？為什麼不把他製作的udp協議傳輸cw的軟體原理列出來，幫助南京的其他數碼電視使用者一起免費收看付費頻道呢？這說明，作者沒有成功實施cw的共享破解，不敢列出自己用過的軟體和硬體。

3，退一步講，即使作者成功獲取了授權機頂盒的cw，並使用udp協議傳輸了乙個cw到另外兩台未授權的機頂盒，通過什麼介面才能下發cw到機頂盒cpu晶元的discrambler解擾器呢？要知道，目前所有機頂盒裡discrambler的軟體介面都是保密的，不能通過rs232的串**互方式來下發cw。

4，眾多疑點表明，作者並沒有成功的實施cw的共享破解，而是拼湊了一篇文章，實現某種目的。

我猜測：

作者是乙個機頂盒軟體工作者，從事或者研究過永新同方的ca的整合工作，了解永新同方ca的智慧型**訊協議，知道cw是在協議的第幾個位元組位置。最關鍵的是，作者有意的暴露了永新同方ca的弱點：永新同方ca的cw是通過des加密演算法計算的，具體的過程是：智慧卡裡有乙個key，在得到ecm表後，使用key解密表內容的16位元組得到cw，再以明文的方式返回給機頂盒，機頂盒直接下發給discrambler解擾器。

對於cw是在機頂盒與智慧型**訊之間明文傳輸的，這已經是ca業界共知的永新同方ca的弱點，也足夠我們去懷疑作者可能是對手公司的成員，比如suma****，tianb**公司，其中，tianb**公司的總裁和技術總監都曾經多次在公開場合下描述目前國內市場占有率第一的同方ca的這個弱點，來表明自己公司的產品是一卡一密的優越性。所以，作者的身份可能是來自tianb**公司的某位軟體工程師。

換另乙個角度講，從網上蒐羅到的資訊看，永新同方公司的員工待遇不好，也不排除其中內部軟體人員在辭職後為了抱怨或者報復，書寫這篇文章公開機密技術內容。

不論怎樣，永新同方公司都不會發表任何宣告對這篇文章的真實性進行反駁或者支援，只能打碎了牙咽到肚子裡，吃個啞巴虧。而對於國內其他機頂盒破解的愛好者和發燒友，這篇文章給我們提供了2條有用的資訊：cw是明文傳輸的，cw是從ecm裡進行des解密得到的。發燒友如果有興趣，可以繼續研究cw網路共享的工作方式，這是一種簡單的破解方法：購買多個合法的機頂盒，購買多套授權頻道，同步記錄各個授權頻道的cw，然後通過網路分發給其他沒有授權的客戶端機頂盒（這類機頂盒一定得有網路介面或者串列埠介面來設定cw到discrambler，所以一般不是廣電公司發售的機頂盒，而是破解的，盜版的或者山寨的機頂盒），這種網路共享的模式可以賺取一定的共享費用。發燒友如果有非凡的技術能力，也可以繼續研究同方ca的des加密演算法（有可能是des，3des，或者未知的私有的des演算法的擴充套件變形），試圖找出ecm和解密key之間的對應關係，這就屬於高階技術的範疇，在國外的破解圈子裡非常普遍，多人組織的團隊在網路上不斷努力工作，最終得出ca智慧卡的軟體模擬**，實現不必插卡就能直接解密ecm表，以收看任何收費頻道。有時候，為了破解乙個ca體系，投入的時間，人力，財力不亞於重新建設一家新的機頂盒公司。

本文在猜測和質疑中推理結論，難免個人意見的偏頗，僅供參考，撰稿人不代表任何一家ca公司的利益。

質疑《我的CA解密全過程》

我申請googleAdSense的全過程

http請求的全過程

WEB請求的全過程

質疑《我的CA解密全過程》

我申請googleAdSense的全過程

http請求的全過程

WEB請求的全過程

相關推薦