Decodeur et Cryptage NAGRAVISION SYSTER (1995-2005)

je pense que pour le modèle pal les premières micro-secondes de chaque ligne (contenant le color burst) ne sont pas permutées, alors que pour le modèle secam c’est l’intégralité de la ligne qui est permutée,

c’est ce qui est indiqué dans le fichier pdf de Markus G. Kuhn décrivant le nagravision syster à la page 3 :

l’autre différence c’est que le décodeur pal utilise la table primaire « 1 », et le modèle secam (et peut-être aussi le modèle russe) utilise une table primaire « 2 » qui a l’avantage d’avoir une image cryptée en couleur (pour rendre impossible le piratage basé sur la reconstruction de l’alternance R-Y, B-Y du secam)

Sait-on comment les décodeurs FR ont géré le changement de TP1 vers TP2 en septembre 97 ?
Upgrade du F/W ou changement de clé physique ?

la réponse a été donnée en page 2, d’après dreambox59 et tda4565 les décodeurs n’ont pas été remplacés, il y aurait eu une mise à jour de la puce amd28f256 via les infos VBI pour y mettre cette table primaire 2

Dans l’hypothèse que la MàJ vers TP2 se faisait via vbi, que se passait-il si l’abonné subissait une coupure secteur durant ce processus ?
Bon évidemment, le décodeur s’éteint, mais arrivait-il à redemarrer, sans corruption de la puce ?
Y’avait-il un F/W de secours ?

je pense qu’il y a un firmware principal qui n’est pas concerné par la mise à jour, logé dans un microcontrôleur principal, si ce dernier s’aperçoit que les données sont corrompues dans l’eprom amd28f256 alors il va probablement relancer le flashage par les infos VBI :question:

Admettons que cela se passait comme çà, je pense qu’il fallait que C+ tienne compte du fait que les abonnés n’étaient pas toujours devant leur poste pour laisser faire la MaJ, cela devait s’étaler sur une certaine période, à moins d’avoir un REP4000, dans ce cas, c’est un abonné qui est toujours sur la chaîne.
J’imagine que ladite MaJ devait aussi être transparente pour l’abonné.

il ne faut pas vous faire des noeuds au cerveau :laughing:
la mise a jour par les airs est un procedé simple et maitrisé .
il y a un « canal » (un PID dédié )pour transmettre les nouveaux datas
il y a bien sur un code un checksum serieux (voir un code de hamming correcteur d erreurs) avant de considerer que les données reçues soient valide .
et quand le prog principal de l appareil sait qu il a les bonnes données il lance un flashage .
chaque zone a son propre cheksum qu on verifie au boot de l appareil ce qui permet de savoir si une zone est à refaire !!
si on est un programmeur serieux : on flashe une zone differente de celle qu on remplace pour palier a une coupure d energie.
il y a des tas d astuces pour faire ça bien (pas sur que tous les appareils soient conçus comme ça !!)

Bonjour,

sur le facebook dédié au cryptage syster il y a un membre qui a ouvert 2 de ses décodeurs officiels (version polonaise syster-P2), il a remarqué que 2 petites plaquettes ont été rajoutées par dessus la carte principale mais uniquement sur un des deux décodeurs, pas l’autre (cliquez dessus pour voir en plus grand) :

pcb.jpg

pcb2.jpg

pcb3.jpg

savez-vous à quoi pouvait bien servir ces 2 petites plaquettes ?

Merci

Les références des IC’s étant bien lisibles, une petite recherche sur « Gogole » de vrait nous en dire +.
J’ouvre le bal:
https://www.digchip.com/datasheets/parts/datasheet/364/TDA4820T-pdf.php
https://assets.nexperia.com/documents/data-sheet/74HC_HCT4020.pdf

Apparemment donc une puce qui génère la synchro en vu de produire un signal vidéo composite,
le fait que le second décodeur n’ait pas ces 2 plaquettes peut être dû à l’existence de plusieurs révisions du décodeur, une meilleure intégration avec moins de composants sur le PCB.

Sinon des progrès ont été faits par ce groupe facebook dans le projet de générer un signal syster exploitable par un décodeur officiel, une vidéo a été publiée :
youtube.com/watch?v=CML8Hr_ … nmoTlscYCM

pour y arriver ils ont récupéré les infos VBI d’une cassette VHS contenant un signal crypté syster, puis utilisé le logiciel hackTV permettant de créer un signal pal en y ajoutant ces infos VBI, et d’envoyer tout cela vers un périphérique SDR « hackRF one », qui émet en hertzien un signal TV, captable par le tuner analogique d’un TV, le signal est ensuite récupéré par le décodeur officiel via la péritel,

à noter que la version 1.5.3 de cryptimage a été mise à contribution dans ce projet, car il a fallu trouver les bons offsets-incréments et les relier aux infos VBI, pour cela ils ont utilisé une technique astucieuse : donner au décodeur un signal en clair avec les infos VBI, le décodeur va alors se mettre à « décoder » l’image en clair, ce qui revient à crypter l’image (comme si on donnait à un décodeur discret11 une vidéo en clair sur laquelle on aurait rajouté des lignes 310/622 clignotantes, ça va se mettre à crypter à l’envers),

et c’est là que cryptimage entre en jeu, via une option « reverse decoding » dans l’interface, qui permet de décoder du syster « à l’envers », pour retrouver les offsets et incréments pour chaque demi trame utilisés par le décodeur quand il s’est mis à crypter la vidéo, un fichier « *.enc » est crée, il contient ces valeurs offsets-incréments, ce qui a permis à Captain Jack d’utiliser ces valeurs quand il génère le fichier pal syster avec le logiciel hacktv,

Captain Jack a aussi réussi à utiliser un microcontroleur pic pour simuler une clé valide :
youtube.com/watch?v=ODJ7Elt … cmacDWJb58

il y a donc moyen de faire revivre un décodeur syster, un grand merci à Captain Jack et ce groupe facebook pour ce travail réalisé 8)

le lien pour le logiciel hacktv, à utiliser avec le périphérique SDR « hack RF One » (on trouve des clones sur aliexpress parfois à moins de 100 euros) :
github.com/fsphil/hacktv

Une nouvelle vidéo publiée par captain Jack :
youtube.com/watch?v=_450kovPocY

On y voit l’utilisation d’une carte électronique branchée sur le décodeur pour intercepter les messages transmis entre la clé et le décodeur, et il décode en parallèle une cassette vhs.

carte.jpg

log.jpg

Mmm … le même logger que j’ai dans mes cartons depuis l’époque du syster.

La vidéo se laisse regarder, mais à l’arrivée, quel est le message de ce groupe?

Je n’arrive pas à trouver un fil conducteur dans toutes ces vidéos. Cette fois on voit des trames passer, comme je l’ai moi même observé à l’époque. Et … ?

Une fois, c’est avec un hackRF, une autre fois une VHS, une autre vidéo montre un ‹ trousseau › de clés blanches …

Parfois ce sont des clés C+ qui sont utilisées, à d’autres moments ce sont des clés de la chaîne Première.

Y a t-il une synthèse quelque part, parce que là, ça part dans tous les sens.

:question: [TDA4565]

leur projet c’est de faire revivre le décodeur syster, comme ce qu’on avait fait avec le décodeur discret 11 et cryptimage, on donne une vidéo cryptée et le décodeur doit se « réveiller » et se mettre à décoder,

leur méthode :

  • ils utilisent un logiciel open source « hackTV » pour piloter l’émetteur/récepteur SDR « hackRF one » (qui est branché en USB sur un PC)
    un signal pal est généré de manière logicielle avec un PC et envoyé via USB au périphérique SDR « hackRF one », avec des infos VBI adaptées pour le syster,

le périphérique hackRF one reçoit donc ce signal PAL et va émettre en hertzien vers le tuner du TV, puis le décodeur syster récupère le signal via la péritel du TV, si la clé insérée dans le décodeur est valide alors le décodeur se mettra à décoder,

  • les infos VBI syster sont récupérées depuis une vieille cassette VHS contenant un enregistrement canal+ crypté d’époque,
    pour cela on branche le magnétoscope à l’entrée vidéo d’une carte TV tuner, puis on lance un logiciel (sous linux) qui sait lire le VBI, la capture du VBI n’est pas parfaite car le VHS n’est pas idéal pour enregistrer du VBI, mais ça a donné des résultats intéressants,

  • une fois les infos VBI récupérées : ils réutilisent ces infos VBI lorsqu’ils créent un signal pal avec le logiciel hackTV, le décodeur pense alors qu’il s’agit d’un signal syster authentique et se met à décoder, ils en ont profité pour le faire fonctionner en mode « crypteur » (en lui donnant une image en clair), puis ensuite ils ont fait une analyse de la vidéo avec cryptimage afin de retrouver l’offset et l’incrément utilisés à chaque trame par le décodeur quand ce dernier s’est mis à « crypter »,

  • ils ont donc les 3 sésames pour décoder matériellement : une séquence VBI qui fait « réveiller » le décodeur, les valeurs offset/incrément pour se créer une vidéo cryptée en syster (compatibles avec les infos VBI extraites de la VHS), et une clé réactivée/clonée grâce à leur carte à base de microcontrôleur pic,

  • enfin ils ont un stock de clés, dont une clé issue du décodeur syster allemand première, et quelques clés polonaises, et françaises, en bidouillant un peu ils arrivent à cloner une clé via un microcontrôleur pic, et la rendre valide, mais cette clé ne fonctionne pas encore avec tous les variantes de décodeurs syster (notamment la version secam sortie en 2006, équipée d’un tuner TNT)

ce qu’il reste encore à faire :

  • faire une rétro-ingénierie du VBI utilisé par canal+, en gros savoir créer à la volée du VBI en fonction de l’offset et de l’incrément à chaque trame, c’est pas évident car le protocole utilisé par canal+ est secret
  • comprendre les échanges de messages entre la clé et le décodeur (le protocole est crypté)
  • réussir à fabriquer une clé qui fonctionne sur tous les types de décodeurs syster, notamment les versions secam françaises et russes

des liens utiles :

Voilà qui est bien plus clair, merci pour cette synthèse :smiley:

La démarche est logique, je n’en doutais pas, c’était juste que cette succession de vidéos n’était en rien représentative des progrès et avancements de ce groupe, et à l’arrivée, j’étais complètement perdu. [TDA4565]

c’est vrai qu’on peut s’y perdre,
j’ai suggéré à captain Jack de créer un « github » sur ce hacking du syster, c’est à dire un site où il mettrait une documentation, les fichiers, les schémas des divers matos qu’il a utilisé, afin que chacun puisse reproduire les expériences montrées dans ses vidéos,

créer un site public où il centraliserait toutes ces infos ne devrait pas lui créer d’ennuis, vu que le brevet du nagravision syster est tombé dans le domaine public, et que le décodeur n’est plus du tout utilisé par canal+

Procedure pour Trouver les News Keys Nagra Analogique

  1. Il faut réaliser le petit montage qui comprend 3 résistances et 1 transistor (et puis un connecteur DB9 femelle)

  2. Tu branche ton PC au Syster, démo allumé et en train de décoder (sinon pas de trafic entre lui et la carte).

  3. Avec C+Logger (rien à faire que de cliquer sur « Comenzar ») ou BKN+ (cocher Canal+ à gauche puis Empezar), tu log les trames.

  4. Au bout d’un moment, tu va chopper une trame dite EMM en réponse à une 0501, qui représente une maj mensuelle des clefs.

  5. Tu copie le contenu de cette trame (qui a cette gueule)
    6D 43 2A 2F A1 50 AE ED
    91 35 D9 92 BA E2 4F 15
    7E 26 BB 41 D6 A3 EE 41
    4D B0 E9 65 DB 9B 79 D4
    EE 53 EF 28 15 1D A3 B8
    3D 61 30 5F C7 D7 63 5F
    A4 71 03 D0 D8 B8 3E 17
    85 36 42 B9 B5 01 A5 94

Puis tu la passe le tout sur une seule ligne en supprimant les espaces, exemple : ( 64 bytes ).
6D432A2FA150AEED9135D992BAE24F157E26BB41D6A3EE414DB0E965DB9B79D4EE53EF28151DA3B83D61305FC7D7635FA47103D0D8B83E17853642B9B501A594

Et enfin tu colles le tout dans l’editbox « Cifrada » de « EMM (Comando 05) » de RSAPlus.

  1. Cliquer sur « Descifrar » puis « Analizar » pour obtenir les clefs dans « Resultados » au dessus (sous la forme de 2 clefs hexa).

  2. Avec KeyPlus tu ouvre le fichier hex du PIC et tu rentres les nouvelles clefs .

  3. Ton Hex ,est prêt a etre mis dans une wafercard

toutes les docs et fichiers dispos sur mon groupe

REACTIVER UNE CLEF BLANCHE CANAL PLUS
-Tout d’abord il va falloir ouvrir la boite noire ,allez-y avec douceur car les clips sont fragiles.
-Il va falloir dessouder le lecteur de cartes spécifique c+ et souder deux fois 4 supports tulipes a la place.
-Réaliser une carte phoenix avec quartz a 3.57Mgz , si vous ne l’avez pas.
-Realiser la fausse carte EN EPOXY qui va dans la boite noire.
-Réaliser une interface avec son cable plat qui permet de travailler confortablement.Cette carte recevra le lecteur de carte C+ qui lui aussi ira s’enficher dans les supports tulipes.Ce qui permettra de le remettre en place sans avoir a « charcuter » une seconde fois la boite noire.
-Attention lors de l’intervention afin de récupérer le lecteur sur la boite noire il y a un contact de part et d’autres du lecteur qui sont les contacts de reset de clée ne pas les oublier donc d’un coté 4points a dessouder et de l’autre 6points.
-Maitenant que vous avez réaliser toute la partie Hard(phoenix+fausse-carte+interface)passons a la partie logicielle.

DUMP

-Dans la phoenix introduire la fausse-carte celle-ci est reliée a l interface par le cable plat metrre les minis switch 1 sur On 2 sur On et le trois sur Off.Mettre la clée dans le lecteur de l interface et lancez DUMP3.2 apres avoir mis la phoenix sous tension.Une fois le logiciel lancé il reconnait la phoenix ainsi que le quartz;en haut a gauche un clic sur dump-auto et tout se passe automatiquement s’il y a message d’erreur ,corriger et recommencer.A la fin c’est a dire au environ de 5 minutes le résultat s’affiche par un commentaire et les infos du dump sont sauvegarder dans un fichier dump.txt,la dedans vous avez tout enfin presque.

LOGGER

-La boite noire n’est pas allumée.
-Enlever la fausse carte de la phoenix la mettre dans la boite noire.Mettre le mini switch 1sur On le 2sur Off le3 sur On.
-Lancez YALOG2 dans la partie droite remplir les n°de série-PK0-VK0
ces infos sont dans dump.txt faire copier-coller sans mettre d’espaces.Dans les champs Key0 et Key1 mettre les KEYS a jour sinon laisser;mettre une coche dans active décryptage 0500.
-Mettre une coche dans Log mis en forme ; dans bloquer3 tapper 0500 et une coche dessous dans aff.

  • connecter le cable série qui était sur la phoenix sur la DB9femelle de l interface(le cable série est un cable droit).
    -Dans le pic 16F84 de l interfaceil faut y avoir mis le prg SEASON.hex car c’est lui qui effectue le dialogue entre le PC et la clée.
    -Il faut que la boite noire soit raccordée soit a un démo analogique sur la télé en fonctionnement chaine 4
    -Brancher la boite noire au secteur et là attendre …les infos vont défiler puis la case 0500 va se remplir et la fenetre décryptage va aussi se remplir…tout cela va durer un certain temps

    RSAPLUS

-Lancer RsaPlus un clic sur OpO faire un copier_coller de Pk et VK pris dans RsaPlus.ini faire de meme avec EMMC que l’on copie dans Cifrada et aussi avec EMMD qui va dans Descifrada.
-En haut a gauche un clic sur Analizar et dans la fenetre Resultados s’affiche les infos et en faisant défiler de haut en bas on peut se servir.
Cpluche v2.24
-Remetter le cable série sur la phoenix remettre les mini switch 1=on
2=on 3=off
-Mettre la fausse carte dans la phoenix ;lancer Cpluche 2.24
-Un clic sur provider0 faire un copier-coller en respectant les espaces
afin de remplir les cases PK et VK.
-Mettre sous tension la phoenix; aller dans menu clic sur config portCom et dans le champ réponse de la clée s’affiche la reconnaissance de la phoenix et sa vitesse.
-Toujours dans menu un clic sur Section dial avec la clée ou clef(les deux orthographes sont au dictionnaire).Envoyez une commande 0200 qui est d’ailleurs déja affichée en faisant un clic sur envoi de la commande le resultat va s’afficher recommencer l’opération en s’aidant de la flèche descendante afin d’afficher la commande 5200 un autre clic sur envoi de la commande ,un série de 1et0 s’affichent.Cette manipulation sert a vider la table de signature sinon pas de réactivation.
-Retour dans menu et un clic sur Section clef off ;pour remplir les différents champs avec les ESPACES ouvrir PKVK.ini dans CAdump3.2 et prendre les infos sauf USER que vous pris la précaution de noter différents user dans le champ résultados de RsaPlus.
-Quand tout est rempli avec les espaces un clic sur « modifier le providerxx »" en l’occurence 00. NE PAS TOUCHER au PRO1 ou PRO2.
une série de 1et0 s’affiche dans la fenetre du bas et si aucune erreur ne s’est produite c’est OK.

DERNIERE ETAPE

-La boite noire est éteinte(débranchée du secteur)
-Mettre les minis switch 1=on 2=off 3=on mettre la fausse carte dans la boite noire mettre sous tension et laisser faire si tout est bon le plastique blanc va s’activer seul (pour moi au bout 1h30mn)
-Si apres 4heures rien ne s’est produit recommencer a partir de Cpluche2.24 en changeant l’USER en ayant a chaque fois envoyé les commandes 0200 et 5200.
mode phoenix 1=on 2=on 3=off
mode logger 1=on 2=off 3=on
le 4 ne sert a rien dans le commerce les minis dip-switch sont vendus par 2,4,6,8.
Voila le plus simple faire une clée a base de 16f84 mettre les bonnes keys et profiter de l image

toutes les docs et fichiers sur mon groupe

Merci pour cette procédure détaillée.

Mais ça me rappelle ce que je faisais quand le cryptage était encore actif.

A moins que je me trompe, il me semble qu’aujourd’hui ceci ne soit plus applicable. Je serais heureux de me tromper … [TDA4565]

Si tu as des cassettes vhs (ou mieux : s-vhs) contenant des émissions d’époque cryptées en syster alors ça pourrait peut-être marcher,

le VBI d’époque contenant les offset/incréments et les droits des abonnés sont peut-être présents aussi sur les films décryptés enregistrés sur VHS (signal décodé envoyé par le décodeur via la péritel).

Quelle était la différence (techniquement parlant) entre une clé noire et une clé blanche ?
D’autre part, la salve de dévalidation de la clé était-elle envoyée en permanence ou cycliquement ?