在抄板解密行业越来越为人所熟悉的今天,工程师们设计产品的同时会更加的重视产品的加密,因此市面上众多的加密芯片,防抄板芯片就出现了,例如ATSHA204系列,AT88系列,LKT4100系列,DS28E01系列,韩国的ALPU系列,TI的BQ26100等等。
我公司专注研究各种加密芯片,各种单片机的结构和汇编指令,免费反汇编,对市面上各种加密芯片都有破解的成功案例,近日应客户要求成功破解了DS28E01芯片,欢迎广大客户来电咨询。
简单介绍DS28E01:
DS28E01通过1条单总线与MCU通信,单总线不多说了,要求时间非常严格,精确到us级别。
DS28E01有四个存储区:
数据存储器(EEPROM)(共分4页,每页32个字节)
密钥存储器(secret)(8字节)
含有特定功能和用户字节的寄存器页(register page)
易失性暂存器(scratchpad)(8字节)
MCU通过单总线只能读写暂存器,而不能直接读写其它存储区。
向数据存储器写数据、载入初始密钥或者向寄存器页写数据时,先把数据写入暂存器,然后通过相应的命令,让芯片自行从暂存器拷贝数据至目的地址。
工作原理:
芯片内部有一个SHA-160加密模块,参与SHA算法的为55字节特定格式的数据,
这些数据包含8字节密钥,5字节用户指定的随机数,32字节EEPROM内容,7字节ROMID,2字节固定数据(0xFF)和1字节EEPROM的地址TA1。
MCU可以读取芯片通过SHA加密后的20字节哈希值,并与MCU自己通过同样的算法计算出的哈希值进行比对。
既然MCU要进行同样的加密操作,要么肯定要生成与芯片内部完全相同的55字节消息,怎么得来的呢?
8字节密钥是自己生成并写进去的. ->OK
5字节随机数是在芯片执行SHA之前写进暂存器的值. ->OK
32字节EEPROM数据,在读回20字节哈希值之前,芯片会传回这32字节内容。 ->OK
7字节ROMID,可以在任何时候读到芯片的ROMID. ->OK
2字节固定值,看手册可以知道 ->OK
1字节TA1,自己写进去的. ->OK
典型应用过程:
过程一:初始化DS28E01密钥
初始化密钥只在产品出产前在工厂进行操作,只需要操作一次即可。
程序流程:
1.读取芯片ROMID
2.通过一定的算法生成一个唯一的64位的密钥,保证每块主板产生的密钥各不相同。
3.将密钥写入芯片暂存区,并读回验证写入是否正确
4.执行芯片加载密钥命令,让芯片将暂存区中的64位密钥保存至密钥存储区
5.完成。
过程二:验证DS28E01密钥
验证密钥是在产品应用程序中进行,每次启动产品时都会验证DS28E01密钥是否正确,
验证通过则正常运行,验证不正确则通过一定手段让产品工作不正常。
程序流程:
1.读取芯片ROMID
2.通过与初始化过程中相同的算法,生成64位密钥
3.向芯片暂存区写入8字节随机数(只用到其中5个字节),并读回验证
4.向芯片发加密认证命令,可以读回32字节EEPROM数据和20字节哈希值
5.用上面读到数据,生成55字节摘要消息,并进行SHA1运算
6.比较自己计算出的哈希值和从芯片读回的哈希值是否一致