Smartcardchip

2007-11-07T18:33:29Z

84.44.130.209:

=Hardware=
[[Image:SmartcardChip1.jpg|thumb|Der Smartcard-Chip ist rot umrandet]]
In der Betty-Fernbedienung ist folgender Smartcard-Chip eingebaut:
<pre>
Security & Chip Card ICs
SLE 66C24PE
8/16-Bit Security Controller
68-Kbytes ROM, 2304 Bytes RAM, 2-Kbytes EEPROM
Dual Key Triple DES
</pre>

Leider gibt es nur eine sehr kurzes 8 seitiges [http://www.infineon.com/cms/en/services/download.html?filename=%2fdgdl%2fSPI_SLE66C24PE_0105.pdf%3ffolderId%3ddb3a304412b407950112b416848b20bf%26fileId%3ddb3a304412b407950112b41684c420c0&location=Products.Chip_Card___Security_ICs.Chip_Card_Controllers.SLE_66_family__Enhanced_High_Performance_Controller.SLE_66C24PE.DOCUMENTS.SPI_SLE66C24PE_0105.pdf PDF] mit Information zum Chip. Nicht einmal die Pinbelegung ist beschrieben.

Anschlussbelegung:
<pre>
Masse 1 o 8 Power
nReset 2 SLE 7 Takt
Data 3 66C24PE 6 nicht verbunden
nicht verbunden 4 5 nicht verbunden
</pre>

Der Chip ist wie folgt mit der CPU verbunden:

* CPU Pin 132 (P2.17) steuert den nReset pin. Wird der CPU-Pin auf LO gesetzt ist der Reset aktiv.

* CPU Pin 78 (P0.10) steuert ÃÂ¼ber einen externen Inverter den Power Pin. Wird der CPU-Pin auf LO gesetzt wird der Chip mit Spannung versorgt.

* CPU Pin 40 (XCLK) ist ÃÂ¼ber einen externen Frequenzteiler mit dem Takteingang des Chips verbunden. Im Betrieb wird ÃÂ¼ber den CPU-Pin der 7,5 MHz Peripherietakt ausgegeben. Durch den Frequenzteiler wird der Takt halbiert. Der Smartcard-Chip wird dadurch mit mit 3,75 MHz getaktet.

* CPU Pin 75 (TXD1) und CPU Pin 75 (RXD1) sind mit dem Daten Pin verbunden. Die Datenrate ist 1/64 der Taktfrequenz, also 58593,75 Bit/s und somit nahe an der von einem PC unsterstÃÂ¼tzen Baudrate von 57600 Bit/s (nur ca. 1,7% Abweichung).

Zum Experimentieren kann man den Chip auslÃÂ¶ten und z.B. mit dem Mastermouse-Interface verbinden. Die andere Seite des Interfaces wird an die serielle PC Schnittstelle angeschlossen. Jetzt kann man mit einen Programm wie z.B. WinExplorer Kommandos an den Chip schicken und die Antworten auswerten. Dadurch lÃÂ¤sst sich das ÃÂbertragungsformat herausfinden und man kann eine Kommandoliste aufstellen.

=ATR=

Nachdem beim Chip ein Reset ausgefÃÂ¼hrt wurde, wird wie bei Smartcards ÃÂ¼blich, ein ATR ausgegeben. Jedoch ist dieser bei der Betty properitÃÂ¤r.

<PRE>
Betty-ATR:
03 02 01
</PRE>

* Das erste Byte enthÃÂ¤lt die Anzahl der ATR Bytes incl. des LÃÂ¤ngenbytes selbst.
* Das zweite Byte ist das Lifecycle Byte: 1=Virgin, 2=Personalisiert
* Das letzte Byte ist eine XOR PrÃÂ¼fsumme ÃÂ¼ber alle vorherigen Bytes.

Bei allen Infineon-Chips gibts eine von Hersteller undokumentierte Funktion den Chip dazu zu bringen statt die Applikation zu starten den Hersteller-ATR auszugeben.

Die Datenleitung muss dazu beim Starten auf LO gehalten und z.B. nach einer Sekunde wieder freigegeben werden.

<PRE>
Hersteller-ATR:
33 66 00 04 9C FF xx xx xx xx xx xx 55 0A 07 22 5A
</PRE>

* Die sechs Byte mit xx enthalten eine eine vom Hersteller vergebene Seriennummer. Betty verwendet die gleiche Nummer (im Batteriefach der Fernbedienung).
* Die fÃÂ¼nfte Stelle gibt den Chiptyp an: 9C = SLE66C24PE

=Protokoll=

Der Kommandoblock hat folgenden Aufbau:
{| class="wikitable" | border="1"
|-
! LÃÂ¤ngenbyte
! Kommandobyte
! Optionale Datenbytes
|-
| EnthÃÂ¤lt die Anzahl der zum Chip gesendeten Bytes incl. des LÃÂ¤ngenbytes selbst.
| Gibt an welche Aktion der Chip durchfÃÂ¼hren soll.
| Bei manchen Kommandos nicht vorhanden.
|}

Der Antwortblock ist wie folgt aufgebaut:
{| class="wikitable" | border="1"
|-
! LÃÂ¤ngenbyte
! Statusbyte
! Optionale Datenbytes
! PrÃÂ¼fsummenbyte
|-
| EnthÃÂ¤lt die Anzahl der Antwortbytes incl. des LÃÂ¤ngenbytes selbst.
| An diesem Byte kann man erkennen ob das Kommando feherfrei ausgefÃÂ¼hrt wurde oder fehlgeschalgen ist.
| Bei manchen Kommandos nicht vorhanden.
| XOR PrÃÂ¼fsumme ÃÂ¼ber alle vorherigen Bytes dieses Antwortblocks
|}

Die Statuswerte in der Antwort haben folgende Bedeutung (Zahlen im Hex. Format):

{| class="wikitable" | border="1"
|-
! Status
! Beschreibung
|-
| 15
| Das Kommando wurde erfolgreich ausgefÃÂ¼hrt
|-
| 16
| Das Kommandobyte ist zwar gÃÂ¼ltig, jedoch nicht die ÃÂ¼bergebenen Daten
|-
| 17
| Das Kommandobyte ist ungÃÂ¼ltig
|-
| 18
| ?
|-
| 19
| ?
|}

Durch das Ausprobieren aller 256 MÃÂ¶glichkeiten fÃÂ¼r das Kommandobyte und weglassen aller Kommandos bei denen Status 17 zurÃÂ¼ckgegeben wurde ist folgende Liste entstanden.

Folgende Kommandos werden unterstÃÂ¼tzt (Zahlen im Hex. Format):
{| class="wikitable" | border="1"
|-
! Kommando
! In der Firmware
verwendet?
! Bedeutung
|-
| 3F
| Nein
| ?
|-
| 41
| Ja
| SC_ID auslesen
|-
| 42
| Nein
| ?
|-
| 43
| Nein
| ?
|-
| 44
| Nein
| ?
|-
| 45
| Ja
| SC_MEM auslesen
|-
| 46
| Ja
| SC_MEM beschreiben
|-
| 47
| Nein
| ?
|-
| 48
| Ja
| 12 dez. Byte lange Zufallszahl ausgeben
|-
| 49
| Nein
| ?
|-
| 4A
| Nein
| ?
|-
| 4B
| Nein
| ?
|-
| 4D
| Ja
| ?
|-
| 4F
| Ja
| ?
|-
| 50
| Ja
| SC_Sec_MEM auslesen
|-
| 51
| Ja
| ?
|}

===Kommando 3F===
* wird in der Firmware nicht verwendet

===Kommando 41 (SC_ID auslesen)===
* wird in der Firmware bei Adresse 80035BA4 verwendet
* keine Kommando-Daten
* Daten im Antwortblock: Kommandobyte-Echo, 6 Byte lange ID (identisch mit der ID im Batteriefach), 00, 8 * unbekannte Bytes

===Kommando 42===
* wird in der Firmware nicht verwendet

===Kommando 43===
* wird in der Firmware nicht verwendet

===Kommando 44===
* wird in der Firmware nicht verwendet

===Kommando 45 (SC_MEM auslesen)===
* wird in der Firmware bei Adresse 80035890 verwendet
* Kommando-Daten: Registernummer (DWORD), Unbekannt1 (DWORD)
* Daten im Antwortblock: Kommandobyte-Echo, 3 * 00, Unbekannt1-Echo (DWORD), Registernummer-Echo (DWORD), Registerinhalt (DWORD), 5 * unbekannte Bytes
* Wertebereich fÃÂ¼r Registernummer: 0 .. E2h

===Kommando 46 (SC_MEM beschreiben)===
* wird in der Firmware bei Adresse 8003596C verwendet
* Kommando-Daten: Registernummer (DWORD), Registerinhalt (DWORD)
* keine Daten im Antwortblock
* Wertebereich fÃÂ¼r Registernummer: 0 .. E2h

===Kommando 47===
* wird in der Firmware nicht verwendet

===Kommando 48 (12 Byte lange Zufallszahl ausgeben)===
* wird in der Firmware bei Adresse 800357C8 verwendet
* keine Kommando-Daten
* Daten im Antwortblock: Kommandobyte-Echo, 3 * 00, 12 dez. * Zufallsbytes

===Kommando 49===
* wird in der Firmware nicht verwendet

===Kommando 4A===
* wird in der Firmware nicht verwendet

===Kommando 4B===
* wird in der Firmware nicht verwendet

===Kommando 4D===
* wird in der Firmware bei Adresse 80035AFC verwendet
* Kommando-Daten: 0 bis 3Eh Bytes mÃÂ¶glich (die Firmware benutzt 4 Byte)
* Daten im Antwortblock: 4 * 8 Byte BlÃÂ¶cke (manchmal ist Block 2 und 3 identisch)

===Kommando 4F===
* wird in der Firmware bei Adresse 80035568 verwendet
* Kommando-Daten: Unbekannt1 (DWORD), Unbekannt2 (DWORD)
* Daten im Antwortblock: Kommandobyte-Echo, 3 * 00, Unbekannt2-Echo (DWORD), 16 dez. * unbekannte Bytes
* Wertebereich fÃÂ¼r Unbekannt1: 0 .. Bh

===Kommando 50 (SC_Sec_MEM auslesen)===
* wird in der Firmware bei Adresse 80035A10 verwendet
* Kommando-Daten: Registernummer (DWORD), Unbekannt1 (DWORD)
* Daten im Antwortblock: Kommandobyte-Echo, 3 * 00, Registernummer-Echo (DWORD), Registerinhalt (DWORD), 5 * unbekannte Bytes
* Wertebereich fÃÂ¼r Registernummer: 0 .. 95h

===Kommando 51===
* wird in der Firmware bei Adresse 80035610 verwendet
* Kommando-Daten: Unbekannt1 (DWORD)
* Daten im Antwortblock: Kommandobyte-Echo, 3 * 00, Unbekannt1-Echo (DWORD), 8 * 00, 8 * unbekannte Bytes.

Bettyhacks.com - Hack BettyTV-Remote - User contributions [en]

Smartcardchip