Desvelado el bug del trucha

Waninkoko escribió:Os voy a contar mi metodo

La Wii desencripta un hash SHA1 contenido en la firma y calcula otro hash SHA1 desde el campo "issuer" del TMD hasta el final del TMD.

Si ambos hashes coinciden, el disco esta bien firmado.
El caso es conseguir que ambos hashes comienzen por 0x00

El metodo mas sencillo es cambiar los 256 bytes de la firma por ceros, y modificar el campo "reserved" del TMD hasta que el hash SHA1 que se hace sobre el TMD comienze por 0x00.

Más claro, agua.

En azúl tenemos la firma.
En rojo el campo "reserved" del TMD.

00000000000000000000000000000000000000000000000000
88888888888888888888888888888888888888888888888888

La Wii calcula la firma sobre el TMD y obtiene 1122334455667788....... no vale, no empieza por 00, por lo tanto modificamos un byte del TMD.

00000000000000000000000000000000000000000000000000
98888888888888888888888888888888888888888888888888

La Wii ahora calcula otra vez la firma y obtiene 0011223344556677...... bingo, firma "válida" conseguida.

Saludos

merol escribió:...

Perfectamente explicado, muchas gracias

Pos que triste este método de comprobación ._.U

hola
a ver...cuanto mas leo mas m lio(esto es como una madeja)
este bug q jode el trucha esta en una actualizacion de las nuevas?
lo digo pa saber si he actualizado y la he jodido...
la penultima actualizacion q puse es la q t avisa si un disco tiene actualizacion en el canal disco y la ultima la q m venia en el juego "fire emblem"
alguien me podria decir?
gracias y un saludo

Elhaym escribió:hola
a ver...cuanto mas leo mas m lio(esto es como una madeja)
este bug q jode el trucha esta en una actualizacion de las nuevas?
lo digo pa saber si he actualizado y la he jodido...
la penultima actualizacion q puse es la q t avisa si un disco tiene actualizacion en el canal disco y la ultima la q m venia en el juego "fire emblem"
alguien me podria decir?
gracias y un saludo

La ultima actualización para la consola es la del Canal Tienda para poder comprar en WiiWare.

Esta actualización PREPARA la consola para tapar el bug del trucha, y por lo visto solo en las japonesas y americanas, las europeas no les pasa (al menos eso dicen en WiiBrew).

Ahora bien, como ya he dicho, solo prepara la consola. La ultima actualización NO ACTIVA EL PARCHEO, para eso hace falta una actualización del menú de la Wii, que muy probablemente será lo proximo que actualizen.

kriogeN escribió:
La ultima actualización para la consola es la del Canal Tienda para poder comprar en WiiWare.

Esta actualización PREPARA la consola para tapar el bug del trucha, y por lo visto solo en las japonesas y americanas, las europeas no les pasa (al menos eso dicen en WiiBrew).

Ahora bien, como ya he dicho, solo prepara la consola. La ultima actualización NO ACTIVA EL PARCHEO, para eso hace falta una actualización del menú de la Wii, que muy probablemente será lo proximo que actualizen.

gracias kriogen
pos voy a entrar en el canal tienda para ver si pone algo de wiiware...o se trata de un nuevo canal q deberia de aparecer?
(ya se q has dichoq en teoria en als europeas no pasa...pero si no lo tengo m kedo aun mas trankilo)

Segun he leido de la cita de tmbinc se podría una vez modificado un TMD ir cambiando el campo signed, es decir el hash firmado hasta que este campo desencriptado coincida con el hash del TMD que hemos modificado. De forma que parezca que se firmo con la clave privada de nintendo.

Este poblema tendria 256^256 combinaciones, no se cuanto tardaria este sistema, si alguien tiene alguna idea del tiempo que lo diga.

Salu2

merol escribió:Segun he leido de la cita de tmbinc se podría una vez modificado un TMD ir cambiando el campo signed, es decir el hash firmado hasta que este campo desencriptado coincida con el hash del TMD que hemos modificado. De forma que parezca que se firmo con la clave privada de nintendo.

Este poblema tendria 256^256 combinaciones, no se cuanto tardaria este sistema, si alguien tiene alguna idea del tiempo que lo diga.

Salu2

Pues un montón de años, a día de hoy es imposible computar una cosa como esta.

Además en el milagroso y casi imposible caso que lo consiguieras solo te serviría para un único disco. Eso si, Nintendo no podría solucionar esto (al menos sin una "chapuza" para prohibir la firma VALIDA que tendrías)

Bueno, pues el tema parece ser baste simple según se pone, simplemente poner toda la firma a cero y modificar el campo reserved hasta que el hash empiece por cero, que es una posibilidad entre 256 (prácticamente instantáneo con un PC actual)

GameZelda escribió:...Pues un montón de años, a día de hoy es imposible computar una cosa como esta.
...
(al menos sin una "chapuza" para prohibir la firma VALIDA que tendrías)...

Yo pensaba que tardaria un tiempo asumible para un pc actual, se que habria que hacerlo para cada disco, pero.... la firma VALIDA seria la misma que la privada de nintendo, es decir si nintendo hiciese el hash a nuestro TMD modificado y lo firmase obtendria lo mismo que nosotros. De forma que seria imposible de tapar. Aunque si tanta combinación es demasiado para un ordenador actual no hay nada que hacer, lo que esta claro es que seria mucho mas sencillo que buscar la propia clave privada de nintendo.


Esperemos que al menos con la nueva aplicacion de Waninkoko tengamos juegos hasta que se descubra el agujero definitivo, o podamos hacer custom firmw, y no nos perdamos ninguna maravilla de nintendo.

Salu2

Creo que tengo una pequeña idea de como solucionar el trucha y obtener la clave original de nintendo para firmar con la clave original.
Pero antes diganme si mis susposiciones son correctas si son asi puede que sea valido...

Hasta lo que he entendido actualmente la consola con los IOS antes del nuevo que hay ahora (37) la comprobacion la hacia hasta encontrarse el final de cadena (0x00) no?
Leia dos cadenas y en ambas tenia que estar el 0x00 en la misma posicion y lo que habia antes de 0x00 era comprobado si era igual no es asi?

2 Dudas en 1 ---> ambas cadenas estan en el disco/canal o una en el disco/canal y la otra en la wii?¿lo que venga despues del 0x00 si lo ponemos por ejemeplo en decimoquito caracter, tieene que se igual tb?

Continuemos con mi suposicion si ponemos todo a 0x00 al no haber caracter que comprobar automaticamente devuelve 0 (validcio ok)
Encambio si ponemos el 0x00 al final hace la validacion compreta y adivinar todos esos numero es muy dificil o imposible de calcular todos de golpe no es asi?

Ahora bien...
Si ponemos el 0x00 a partir del segundo caracter el primero debera coincidir para k devuelva "0" de manera que ahora nuestros palos de ciego son solo de 256 numeros a provar una ver encontremos el numero X que funcione sabemos cual es el primer caracter de la clave ahora repetimos el mismo proceso pero poniendo de caracter 1 el que savemos que va ok y ahora provamos los 256 en el 2 para saber cual es el seguro y asi vas haciendo pruevas uno por uno hasta obtener todos yobtendrias una clave correcta/original sin truchear no es asi? Creen que funcionaria?

Desde luego si tenemo la clave original ya es incapable ... y podriamos firmar lo que quisieramos....

Por contra .... NO ES IMPOSIBLE OBTENERSE PERO SE TARDARIA BASTANTE TIEMPO EN PROVAR TODOS LOS NUMEROS HASTA OBTENRER TODOS... 256 pruebas por cada caracter suponiendo k son 256 (no se cuantos son exactamente) son bastantes pruebas


Wanikoko ¿Crees que sirve de algo o se he congeturado algo que no tiene ni pies ni cabeza?

mmmm 256^256:

3231700607131100730071487668866995196044410266971548403213034542752465513886
7890893197201411522913463688717960921898019494119559150490921095088152386448
2831206308773673009960917501977503896521067960576383840675682767922186426197
5616183809433847617047058164585203630504288757589154106580860755239912393038
5521914333389668342420684974786564569494856176035326322058077805659331026192
7084603141502585928641771167259436037184618573575983511523016459044036976132
3328723122712568471082020972515710172693132346967854258065669793504599726835
2998638215525166389437335543602135433229604645318478604952148193555853611059
596230656 combinacines.........