Decodeur et Cryptage NAGRAVISION SYSTER (1995-2005)

le datasheet de ce composant 28f256 :
pdf.datasheetcatalog.com/datashe … mXyzxw.pdf

quelle est la technique à utiliser si on veut récuperer le contenu de cette eprom avec un arduino ?
un montage et un programme pour arduino existe peut-être sur internet pour lire le contenu de ce composant 28f256

pour lire ce chip il faut soit un williem ou mieux le chipmax ou topmax de chez seet avec les adaptateur correspondant bien sur , perso j ai le williem et bientôt le tl8662plus avec touts les adaptateurs du reste il vont me servir a lire d autre familles de composant pour des projecteur et système dmx liées au monde du spectacle voila !

c’est pas donné le chipmax (500 euros la version 2 sur amazon),

je pensais plutôt à du système D, en utilisant un arduino uno (10 euros le clone chinois), un adaptateur, et le logiciel gratuit flashrom :
flashrom.org/Serprog/Arduino_flasher

mais l’amd 28F256 ne figure pas dans le matériel supporté par flashrom :
flashrom.org/Supported_hardware

reste la piste du willem qui est très abordable :
fr.aliexpress.com/item/TL866CS- … autifyAB=0

le micro est un 8397 intel (un dérivé du 8096 deja employé dans le decsat d2mac) le pb c est qu il contient 8kbytes en interne et que c est surement pour faire une manip sur les data de la 28f256 et de de la ram.
pour lire la 28f256 on pourrait souder des fils a des points precis pour recomposer un support dil 32.
mais le bus adresse et data est multiplexé , 15 bits d adresse et 8 de datas il y a un 74373 qui latche les data 0-7 avant de les presenter a la 28f
du coup un montage avec pic16 (ou arduino) pourrait faire le job :
il y a 8 fils d adresse haute a8-a15 8 fils adresse basse et data a0-a7 d0-d7 la commande ALE et CE OE et RD a gerer.
ça se tente mais le resultat sera peut etre un contenu crypté in-desassemblable !!!

un composant comme celui là peut se lire sur un arduino

les 8 bits de données sont à relier sur un port 8 bits

les 15 bits d’adresses peuvent se contrôler via un 4040 (ou 2 !) pour les lire séquentiellement

en fait , il faut juste un autre port 8 bits
-2 bits pour les 4040 qui feront défiler les adresse : clock et raz

  • 6 bits pour les oe/ et ce/

c’est plus qu’il n’en faut

par contre il faut un bandeau loupe des petits fils et de la patience … :mrgreen:

Y’avait-il des différences significatives entre le Syster Français et Allemand ?
Etaient-ils inter-compatibles ?

je pense que pour le modèle pal les premières micro-secondes de chaque ligne (contenant le color burst) ne sont pas permutées, alors que pour le modèle secam c’est l’intégralité de la ligne qui est permutée,

c’est ce qui est indiqué dans le fichier pdf de Markus G. Kuhn décrivant le nagravision syster à la page 3 :

l’autre différence c’est que le décodeur pal utilise la table primaire « 1 », et le modèle secam (et peut-être aussi le modèle russe) utilise une table primaire « 2 » qui a l’avantage d’avoir une image cryptée en couleur (pour rendre impossible le piratage basé sur la reconstruction de l’alternance R-Y, B-Y du secam)

Sait-on comment les décodeurs FR ont géré le changement de TP1 vers TP2 en septembre 97 ?
Upgrade du F/W ou changement de clé physique ?

la réponse a été donnée en page 2, d’après dreambox59 et tda4565 les décodeurs n’ont pas été remplacés, il y aurait eu une mise à jour de la puce amd28f256 via les infos VBI pour y mettre cette table primaire 2

Dans l’hypothèse que la MàJ vers TP2 se faisait via vbi, que se passait-il si l’abonné subissait une coupure secteur durant ce processus ?
Bon évidemment, le décodeur s’éteint, mais arrivait-il à redemarrer, sans corruption de la puce ?
Y’avait-il un F/W de secours ?

je pense qu’il y a un firmware principal qui n’est pas concerné par la mise à jour, logé dans un microcontrôleur principal, si ce dernier s’aperçoit que les données sont corrompues dans l’eprom amd28f256 alors il va probablement relancer le flashage par les infos VBI :question:

Admettons que cela se passait comme çà, je pense qu’il fallait que C+ tienne compte du fait que les abonnés n’étaient pas toujours devant leur poste pour laisser faire la MaJ, cela devait s’étaler sur une certaine période, à moins d’avoir un REP4000, dans ce cas, c’est un abonné qui est toujours sur la chaîne.
J’imagine que ladite MaJ devait aussi être transparente pour l’abonné.

il ne faut pas vous faire des noeuds au cerveau :laughing:
la mise a jour par les airs est un procedé simple et maitrisé .
il y a un « canal » (un PID dédié )pour transmettre les nouveaux datas
il y a bien sur un code un checksum serieux (voir un code de hamming correcteur d erreurs) avant de considerer que les données reçues soient valide .
et quand le prog principal de l appareil sait qu il a les bonnes données il lance un flashage .
chaque zone a son propre cheksum qu on verifie au boot de l appareil ce qui permet de savoir si une zone est à refaire !!
si on est un programmeur serieux : on flashe une zone differente de celle qu on remplace pour palier a une coupure d energie.
il y a des tas d astuces pour faire ça bien (pas sur que tous les appareils soient conçus comme ça !!)

Bonjour,

sur le facebook dédié au cryptage syster il y a un membre qui a ouvert 2 de ses décodeurs officiels (version polonaise syster-P2), il a remarqué que 2 petites plaquettes ont été rajoutées par dessus la carte principale mais uniquement sur un des deux décodeurs, pas l’autre (cliquez dessus pour voir en plus grand) :

pcb.jpg

pcb2.jpg

pcb3.jpg

savez-vous à quoi pouvait bien servir ces 2 petites plaquettes ?

Merci

Les références des IC’s étant bien lisibles, une petite recherche sur « Gogole » de vrait nous en dire +.
J’ouvre le bal:
https://www.digchip.com/datasheets/parts/datasheet/364/TDA4820T-pdf.php
https://assets.nexperia.com/documents/data-sheet/74HC_HCT4020.pdf

Apparemment donc une puce qui génère la synchro en vu de produire un signal vidéo composite,
le fait que le second décodeur n’ait pas ces 2 plaquettes peut être dû à l’existence de plusieurs révisions du décodeur, une meilleure intégration avec moins de composants sur le PCB.

Sinon des progrès ont été faits par ce groupe facebook dans le projet de générer un signal syster exploitable par un décodeur officiel, une vidéo a été publiée :
youtube.com/watch?v=CML8Hr_ … nmoTlscYCM

pour y arriver ils ont récupéré les infos VBI d’une cassette VHS contenant un signal crypté syster, puis utilisé le logiciel hackTV permettant de créer un signal pal en y ajoutant ces infos VBI, et d’envoyer tout cela vers un périphérique SDR « hackRF one », qui émet en hertzien un signal TV, captable par le tuner analogique d’un TV, le signal est ensuite récupéré par le décodeur officiel via la péritel,

à noter que la version 1.5.3 de cryptimage a été mise à contribution dans ce projet, car il a fallu trouver les bons offsets-incréments et les relier aux infos VBI, pour cela ils ont utilisé une technique astucieuse : donner au décodeur un signal en clair avec les infos VBI, le décodeur va alors se mettre à « décoder » l’image en clair, ce qui revient à crypter l’image (comme si on donnait à un décodeur discret11 une vidéo en clair sur laquelle on aurait rajouté des lignes 310/622 clignotantes, ça va se mettre à crypter à l’envers),

et c’est là que cryptimage entre en jeu, via une option « reverse decoding » dans l’interface, qui permet de décoder du syster « à l’envers », pour retrouver les offsets et incréments pour chaque demi trame utilisés par le décodeur quand il s’est mis à crypter la vidéo, un fichier « *.enc » est crée, il contient ces valeurs offsets-incréments, ce qui a permis à Captain Jack d’utiliser ces valeurs quand il génère le fichier pal syster avec le logiciel hacktv,

Captain Jack a aussi réussi à utiliser un microcontroleur pic pour simuler une clé valide :
youtube.com/watch?v=ODJ7Elt … cmacDWJb58

il y a donc moyen de faire revivre un décodeur syster, un grand merci à Captain Jack et ce groupe facebook pour ce travail réalisé 8)

le lien pour le logiciel hacktv, à utiliser avec le périphérique SDR « hack RF One » (on trouve des clones sur aliexpress parfois à moins de 100 euros) :
github.com/fsphil/hacktv

Une nouvelle vidéo publiée par captain Jack :
youtube.com/watch?v=_450kovPocY

On y voit l’utilisation d’une carte électronique branchée sur le décodeur pour intercepter les messages transmis entre la clé et le décodeur, et il décode en parallèle une cassette vhs.

carte.jpg

log.jpg

Mmm … le même logger que j’ai dans mes cartons depuis l’époque du syster.

La vidéo se laisse regarder, mais à l’arrivée, quel est le message de ce groupe?

Je n’arrive pas à trouver un fil conducteur dans toutes ces vidéos. Cette fois on voit des trames passer, comme je l’ai moi même observé à l’époque. Et … ?

Une fois, c’est avec un hackRF, une autre fois une VHS, une autre vidéo montre un ‹ trousseau › de clés blanches …

Parfois ce sont des clés C+ qui sont utilisées, à d’autres moments ce sont des clés de la chaîne Première.

Y a t-il une synthèse quelque part, parce que là, ça part dans tous les sens.

:question: [TDA4565]

leur projet c’est de faire revivre le décodeur syster, comme ce qu’on avait fait avec le décodeur discret 11 et cryptimage, on donne une vidéo cryptée et le décodeur doit se « réveiller » et se mettre à décoder,

leur méthode :

  • ils utilisent un logiciel open source « hackTV » pour piloter l’émetteur/récepteur SDR « hackRF one » (qui est branché en USB sur un PC)
    un signal pal est généré de manière logicielle avec un PC et envoyé via USB au périphérique SDR « hackRF one », avec des infos VBI adaptées pour le syster,

le périphérique hackRF one reçoit donc ce signal PAL et va émettre en hertzien vers le tuner du TV, puis le décodeur syster récupère le signal via la péritel du TV, si la clé insérée dans le décodeur est valide alors le décodeur se mettra à décoder,

  • les infos VBI syster sont récupérées depuis une vieille cassette VHS contenant un enregistrement canal+ crypté d’époque,
    pour cela on branche le magnétoscope à l’entrée vidéo d’une carte TV tuner, puis on lance un logiciel (sous linux) qui sait lire le VBI, la capture du VBI n’est pas parfaite car le VHS n’est pas idéal pour enregistrer du VBI, mais ça a donné des résultats intéressants,

  • une fois les infos VBI récupérées : ils réutilisent ces infos VBI lorsqu’ils créent un signal pal avec le logiciel hackTV, le décodeur pense alors qu’il s’agit d’un signal syster authentique et se met à décoder, ils en ont profité pour le faire fonctionner en mode « crypteur » (en lui donnant une image en clair), puis ensuite ils ont fait une analyse de la vidéo avec cryptimage afin de retrouver l’offset et l’incrément utilisés à chaque trame par le décodeur quand ce dernier s’est mis à « crypter »,

  • ils ont donc les 3 sésames pour décoder matériellement : une séquence VBI qui fait « réveiller » le décodeur, les valeurs offset/incrément pour se créer une vidéo cryptée en syster (compatibles avec les infos VBI extraites de la VHS), et une clé réactivée/clonée grâce à leur carte à base de microcontrôleur pic,

  • enfin ils ont un stock de clés, dont une clé issue du décodeur syster allemand première, et quelques clés polonaises, et françaises, en bidouillant un peu ils arrivent à cloner une clé via un microcontrôleur pic, et la rendre valide, mais cette clé ne fonctionne pas encore avec tous les variantes de décodeurs syster (notamment la version secam sortie en 2006, équipée d’un tuner TNT)

ce qu’il reste encore à faire :

  • faire une rétro-ingénierie du VBI utilisé par canal+, en gros savoir créer à la volée du VBI en fonction de l’offset et de l’incrément à chaque trame, c’est pas évident car le protocole utilisé par canal+ est secret
  • comprendre les échanges de messages entre la clé et le décodeur (le protocole est crypté)
  • réussir à fabriquer une clé qui fonctionne sur tous les types de décodeurs syster, notamment les versions secam françaises et russes

des liens utiles :

Voilà qui est bien plus clair, merci pour cette synthèse :smiley:

La démarche est logique, je n’en doutais pas, c’était juste que cette succession de vidéos n’était en rien représentative des progrès et avancements de ce groupe, et à l’arrivée, j’étais complètement perdu. [TDA4565]