知识准备:当一个用户第一次打开他的移动电话时,使用的是存储在他的SIM卡中的IMSI。在鉴别和加密过程之后,GSM系统将由A5算法使用Kc加密后的TMSI派送给移动电话。
移动电话在收到TMSI后,发送由同样的算法和密钥加密后的响应来确认接受。之后,当用户和网络通信时,他使用临时标识代替真正的身份。
TMSI再分配过程中的加密可以被视为进一步的安全措施
TMSI是GSM系统用户的临时标示符。它存储在GSM网络的VLR中,并分配给GSM网络的相应用户。它用于在一定时间内代替用户的真实身份。这样可以保证IMSI不经过无线网络传输
1)TMSI 是一个32Bit的号码,是手机进行ATTACH或位置更新时网络给手机分配的一个号码。
2)手机进行主叫或被叫时需要附带自己的电话号码,考虑到安全方面原因,不能携带本身电话号码,以免被空中截获。在网络端会有TMSI与电话号码的对应表。
3)TMSI尽量短,因为它占用的是RACH或PCH信道.传输资源比较紧张,另外短号码被截获的可能性较低。
4)在待机状态下,网络向手机发送信号都是以TMSI进行发送的,不是用号码
而是AUTH的次数.一般在交换机中可以设定一个参数来定义使用密钥,即鉴权3元组(3G使用5元组)的频率.如10次联系(包括location update, MOC,MTC, SMS...)鉴权1次.
而TMSI的分配也可以相似的频率参数,如每20次重新分配一次. 当然两者是分开的.
一般在运行局中,常见的值是5~10. 这样能在信令负荷与保密性上得到平衡.
另外,TMSI不止在同一交换机下可以用,在不同的交换机下也可以使用.
由于SIM卡会将它最后所在的位置(MSCID,LAC,CELLID)和TMSI记录下来.这样当手机在另一个交换机下登记时,它可以使用原来交换机的MSCID+TMSI找到它在原先交换机中的数据.而原交换机可以将这些数据发给新的交换机,再又新交换机给手机重新分配一个TMSI.这样,在整个过程中就不会在空中接口使用IMSI了.-----------------------------------------------------------------------------------------------------引自互联网
如何突破这个tmsi?
敬请参阅http://bbs.blueshow.net/read.php?tid=437500&fpage=0&toread=&page=1
904使用非VDF卡打电话接电话收发短讯,非解锁。877代码放出。继续完善,1楼持续更新中
904这机器按照理解应该支持stk的哦,,,可是我在菜单里面找了很久都没有能够找到!
众位!!!!!有没有人知道stk菜单在哪里????????
5张图片表明这个904启动在非装vdf卡时,能够进入菜单并使用
双usim卡切换无法绕过imsi检测的原因是因为加载usim数据的时候机器做了部分程序以及硬件的初始化,或者叫复位动作20070309
不要啊!!!大家只顾关心解锁的 内容了:(
我在问stk菜单在哪里?结果没有人回答
经过认真的寻找,,,904 不能在我这张stk卡读取到stk菜单。没有不同规格的stk供测试,试验到此结束!谢谢众位!
ps:904只能使用vdf的卡的确很遗憾,,不过可以把imsi号写到测试卡里面当做usim卡开机使用全部功能。也就是说这个904的网络锁是通过imsi来识别是否是合法用户并开放机器功能--呵呵,网络功能呢除外:)
那么到底这个imsi锁了哪几位的数字作为机器识别用的呢?^_^
就是imsi的第1-8位中的第3,5,6,7,8位例如
12345678位
084904020000000000
084906000111111111
就第一个合法,因为这个代表日本--就是所谓的网络锁通过鉴别这个字冠4,0,4,0,2(到了机器里面地址位由低到高为440-20)来识别开机卡的合法与否,第二个前8位则是中国移动的国际字冠
关于一卡多号的卡使用在904上面,的确是可以启动机器进菜单
进入菜单后换号码可能904还要检测imsi号
如果检测那么无论是什么类型的一卡多号的卡都不可以通过用一卡多好绕过
imsi检测,但是根据智能卡的不同,如果不再检测imsi就可以使用国内的号码啦
现在已经确认的是大部分一卡多号都不能在904上绕过imsi检测
唯一没有上机器测试的就只剩下877卡做的可以手动写imsi的一卡多号的卡了
谁有这种卡做的一卡多号的卡,我可以提供可以启动机器的文件,写入卡片做号码切换测试就可以真像大白啦,能就行,不能的话就彻底这个方法不行啦注意一定是要877做的,别的已经测试过啦不可以的
有谁的904在进settings-network settings-select network-manual
后可以检测到这个画面?这个图示是请求用户选择登陆到已检测到两个网络中的哪个网络。此时904使用的是中国移动的帐号在注册网络,选的是手动选择网络。离注册到基站只剩下最后一步发送握手信息了。除了关闭国别鉴别还有别的选择吗?--如果关闭基站检测国别,此时的904再按一下选择中国移动,904就正式登陆到网络上了--将可以在国内的网络中使用:)
握手之前的最后一步
fbi008测试请看169楼。
双usim卡测试也是失败的。
而且和大唐的卡还有部分功能交换不够正常。咳,国内的卡啊。就只能这样子喽
3月底这样还要交测试报告。咳
上硬电路切换的事情不知道什么时候才能完成。咳
希望有条件的兄弟还是从硬电路动手吧。争取早日看到结果。
我查过相关资料,网络锁这个问题通常都是由软件来完成功能模块的硬触发。由软件来着手解决姣好。但是我就是不死心,总觉得要试试:(
以下资料来自互联网:
GSM 的加密系统里面大致涉及三种算法,A3,A5,A8,这些并不特定指代什么算法,只是给出算法的输入和输出规范,以及对算法的要求,GSM 对于每种算法各有一个范例实现,理论上并没有限制大家使用哪种算法。但是世界上的设备商和运营商都是一样算法。
简单介绍一下 SIM 卡, SIM 卡是一种智能卡片,里面有个非常简单的 CPU 和一点 NVRAM,可以存储和读出数据,还可以进行一些运算。卡里面有很多内容,不过我只介绍和加密相关的。每张 SIM 卡里面一般都存着一个全球唯一的标志号,叫做 IMSI,这个是用来唯一标识你 SIM 卡的,手机在开机时候会从卡里面读出这个号发给移动网络,移动那里有一个很大的数据库,描述了 IMSI 和手机号的对应关系,于是网络就知道你的手机号是多少了(如果你手机卡丢了去补,新补来的卡 IMSI 和原有的不同,而移动数据库那里将你原来的手机号指向新的 IMSI,旧的卡就再也不能用了)除了 IMSI ,还有 16 个字节的密钥数据,这个数据是无法通过 SIM 卡的接口读出的,通常称为 Ki, Ki 在移动网络那边也保存了一份。
在手机登录移动网络的时候,移动网络会产生一个 16 字节的随机数据(通常称为 RAND)发给手机,手机将这个数据发给 SIM 卡, SIM 卡用自己的密钥 Ki 和 RAND 做运算以后,生成一个 4 字节的应答(SRES)发回给手机,并转发给移动网络,与此同时,移动网络也进行了相同算法的运算,移动网络会比较一下这两个结果是否相同,相同就表明这个卡是我发出来的,允许其登录。这个验证算法在 GSM 规范里面叫做 A3,m = 128 bit, k = 128 bit, c=32 bit,很显然,这个算法要求已知 m 和 k 可以很简单的算出 c ,但是已知 m 和 c 却很难算出 k 。A3 算法是做在 SIM 卡里面的,因此如果运营商想更换加密算法,他只要发行自己的 SIM 卡,让自己的基站和 SIM 卡都使用相同的算法就可以了,手机完全不用换。
在移动网络发送 RAND 过来的时候,手机还会让 SIM 卡对 RAND 和 Ki 计算出另一个密钥以供全程通信加密使用,这个密钥的长度是 64 bits, 通常叫做 Kc, 生成 Kc 的算法是 A8 ,因为 A3 和 A8 接受的输入完全相同,所以实现者偷了个懒,用一个算法同时生成 SRES 和 Kc 。
在通信过程中的加密就是用 Kc 了,这个算法叫做 A5 ,因为 A5 的加密量很巨大,而且 SIM 卡的速度很慢,因此所有通信过程中的加密都是在手机上面完成的,这样一来,除非天下所有 GSM 手机都至少支持一种相同的 A5 算法,否则就没法漫游了,这时候运营商和设备商的懒惰又体现出来了,全世界目前只有一种通用的 A5 算法,没有其他的,这个算法就是和 Kc 的 8 字节序列进行简单的循环 XOR,再和报文序号做个减法。
GSM 的加密通信过程,实际上 GSM 的操作比这个还要复杂一些,比如除了第一次登录时候用真正的 IMSI ,之后都是用商定的临时标识 TMSI ,不过这个不是讨论的重点。
来自互联网的资料到此结束。
[s:72] [s:72] 904到目前还没有能够解网络锁,
世界上能够在中国用的904只有两种:
国际漫游的和移动联通通过修改服务器端数据库的测试用户
904硬件切换imsi号码测试工作得到众多网友的支持,非常感谢。
测试结果暂时不会公布--现在是因为测试程序还没有准备好,
(我不想我的机器一下就报废),
之后将会考虑到网络这个因素适时适当的公开部分结果。
如果大家一直看不到结果,,呵呵,就不要追问啦,
,肯定是因为没有好结果:)气的我自己也不想说了:(
20070309
目前还不清楚是否904的软件设计得有多严谨是否有漏洞足够卡间数据切换,
这将会直接关系到我的思路的死活。如果没有足够的漏洞,我一切换卡间数据
估计就会死机或者加密锁定。最乐观就是绕过去但是注册网络会遇到不清楚的问题
20070309
设备已经全部进场。
测试设备初检完成。
连接设备可以正常开关机。
连接监视程序手机断电。:(
听说南邮有国外的一套sim测试机,可惜不能借到:(
我只有自己定这个东西硬上了。
这个可以直接仿真sim卡,哈哈,还可以监视手机和sim的通讯。哈哈
可能需要自己重新写切换的程序或者整个模拟仿真的部分要重写
咳,时间时间啊
手头的测试软件还读不出usim和手机交换的数据:(
看来虽然usim兼容sim但是手机准备了不同的对应方式
换上测试卡,这次倒是可以读取数据
通过换用不同的测试卡尝试了解中。。。。
ps:绿色的哪个板子就是仿真卡。加上电脑和程序就可以仿真sim卡啦
当手机所有开机程序跑完的时候,,,就可以操作切换imsi。然后可能需要重新
搜寻注册网络--看看是否可以不用检查imsi。可以的话就算绕过了
通常的手机只要不重新注册网络都是不会检测imsi的:)
根据目前获得的数据看基本可以确定开机程序跑一段时间后检测过imsi就不再检测了
数据还有显示emm指令,多次检测均为同一数据。这个我猜是否就是。。。
不能确定,大家一起猜吧。
但是这个数据是经过运算后得到的,并非是明码。有给应用带来麻烦:(
20070315
没有头绪:((((
期望大家一起来讨论:(
20070320
20070327 sim卡仿真调试了很长时间始终还是没有搞好。很多问题。
太累
休息一下。
第17张是检测到有3G网络。(不能使用的)
20070407经过不断测试发现:只要是中途换过sim卡,或者是检测到非usim卡机器会自动锁止:(
出现refresh的画面图:18-19
有好几个xd问到照片能否有清楚的:
我这里不可以拍照的,能有摄像头拍照就不错啦。清楚的都是手机拍的。
但是手机和摄像头近距离对焦都不准的,没有办法提供清楚照片。如果有兄弟需要
可以预约视频看看或者谁借个相机给我:)
20070418
听到风声似乎真的904上2020已经告破20070418--没有亲眼看到,大家不要传话有偏差。以免误导他人。
上游的商家一直在抛货。。。。。打电话到中国夏普也无法预定到904,
证实某人在欺骗大家罢了,gz移动并没有上测试用的904:)
所谓解锁估计。。。。。。还是当做没有解锁好了 [s:71] [s:71]
这几天一直都在写程序啊,什么的,主要是sim卡的结构以及加密不是那么好写的。
不然移动公司不就早破产啦?也许就我这能力不能成功写出这样的软件,
权当是自己提高写作水平吧。20070502
经过集体讨论,想在sim上完成imsi切换是可能的,但是没有现成的例子可以参考:(
根据设计不同,实现饶过手机imsi检查应该从理论上讲是可以实现的。采取保存临时移动识别码
(tmsi)的对策应该是正确的。目前卡仿真遇到不小的困难:(
老外的设计真的是够理论的:)20070508
绕过机器的imsi检测则是另外一回事。
这个是两回事情,尽管目的都是一样的。
我从大多数人的回帖看有一些人
可能误解了我的本意。我并非是要或者能够破解904的网络锁。
我只是在讨论看能否利用机器的设计缺陷达到绕过imsi检测罢了。
不能把传统意义上的破解网络锁和利用机器软件设计的漏洞而达到同样效果之间划上等号。
破解相当于架桥。
我做的相当于沿河边走看是否能绕到河对岸去。
就算我能绕过imsi检测能否正常使用还是个不确定的问号。
其实我的标题已经说明啦,不是破解。可能部分同胞没有注意,呵呵。
20070508
加密数据的中间值一般都是没有什么价值的。没有算法不知道到底程序干了些什么。
我可以读到sim卡和机器交换的所有数据,但是
不知道什么是有效数据--就是不知道实际上这个锁检测的是哪几个字符。
除非可以直接把tmsi注入机器。也就是说关键在于db2020或者cid73
在机器运行程序的时候是否检测imsi的。或者是imsi号码是否参与了
检测程序的加密。20070511
问题是:机器注册网络用的imsi要能改变才行。
vdf的imsi和移动联通的都是不一样的。
要么让机器不检测imsi(就是破网络锁啦,当然没有锁的就读一下imsi发给基站,
但是机器不用这个来限制功能)
要么让基站不检测imsi
没有imsi移动电话基本上就不能注册网络,因为目前的基站设备都是通过imsi
和key来鉴别合法用户的
我的策略是--狸猫换太子
偷换imsi是我的对策--机器开机的时候检测imsi。
我们给机器一个vdf的imsi那么就可以进入菜单了
注册网络的时候发给基站一个移动的imsi,那么移动就
认为卡是合法用户,就可以打电话了。
另外key的问题已经解决了。20070513
最近一直忙公家的事情,进度慢很多。
前几天突然想把字库以及db2020和903的db2000拆下来
看看bga的针脚是否一致?
能否直接替换?
不知道,呆呆等待903的板子回来。
准备上最少3块903
2块904
不知道是否会让我失望。。。。。。
真是心疼啊,904没有坏板子咳。。。。
903的字库问题其实很容易解决
按照理论讲直接对字库编程应该可以解决许多重启的问题
但是bga成本是个很大的问题
没有几个有条件试验的
20070619
终于有好心人愿意赞助3块字库什么都没有动过的主板。
还是好人多啊!呵呵 [s:77] [s:77] [s:77]
各位观众。。。。
他就是大名顶顶的(序幕来开,噔噔~噔噔~~)icecat007
再次向icecat007致谢!!!!!!!
鼓掌送花。。。。。[s:59][s:59][s:59]
有没有人赞助904给我试验啊???
啊,,呵呵,,太贪心了,,还是自己来把[s:59][s:59][s:59][s:59]
20070624
icecat007 6月26中午发出3块903主板。
27日中午收到
非常感谢icecat007的无偿赞助!
大家为他鼓鼓掌吧[s:76][s:76][s:76]
经过大家一起努力直接替换2020为2000宣告失败。
换了以后直接不开机。
应该是有部分内容不配套造成的。20070717
其实真的有需要和必要给牛人Dejan Kaljevic写信
请教他一下
Dejan Kaljevic是sim卡复制的原作者
对于sim结构以及sim和手机内数据注入的流程非常清楚
需要对用于904的sim卡编程实现:
开机检测的时候注入一个imsi和注册网络时注入另一个imsi
我在编程实现的时候没有能够正确把握流程和方法
实在是水平有限。惭愧:(
一直都在恶补这部分知识。
但是进步实在太慢
不知道公开Dejan Kaljevic的信箱是否正确:)
其实网上很容易搜到的:)
Web: http://www.net.yu/~dejan
eMail: dejan@net.yu
20070720
"
需要对用于904的sim卡编程实现:
开机检测的时候注入一个imsi和注册网络时注入另一个imsi"
呵呵,看来有很多表述不准确的地方,现在明确表述如下:
我之前只是提到imsi
实际上需要做的工作是:
对sim进行编程,实现
1。使用vdf的sim卡的imsi注册中国移动网络,并在sim卡端抓取tmsi
2。注册鉴权时发出抓取的tmsi加一卡多号提取的ki
这样编程得出的sim一定可以成功绕过904的imsi检测
这个方案经过专家组的私下讨论得到认可:)
”经过集体讨论,想在sim上完成imsi切换是可能的,但是没有现成的例子可以参考:(
根据设计不同,实现饶过手机imsi检查应该从理论上讲是可以实现的。采取保存临时移动识别码
(tmsi)的对策应该是正确的。目前卡仿真遇到不小的困难:(
老外的设计真的是够理论的:)20070508”
哈哈哈,,看来中国人也是不笨啊。
这个方案原来真的可以啊!
大家都来努力吧!已经有国外编程强人实现了类似的例子了,不过是用于实现在iphone上面。
我们离“破解”904还有一小段明确的路要走而已!
20070807
关于iphone上使用的877卡及其iphone专用的SIM_EMU_6.01_iphone.HEX
目前流行的用于iphone的这个877卡及其程序只是专用于iphone
直接照搬到904是不行
已经测试不能通过。
根据测试的结果877卡上电以后第一次将提供位置0的imsi也就是非vdf需要的imsi这个就应该是
不能直接运行于904的原因了--这个等待查看源程序代码才能最终确认
实际上要一上电就提供vdf的imsi供904开机。
然后就立即或者测试后定下次数提供国内的imsi就可以
思路基本就是这样了,大家一起来修改iphone的这个程序吧。
测试的结果是iphone的877上电只是第二次读imsi时提供一个at&t的imsi但是不是904需要的第一次
上电就提供。但是网上流传的说法却是iphone的877是第一二两次提供at&t的imsi--这个可能有错。
请大家来鉴定
20070905
904sh已经搞了一半了.为id:刺猬及其同事Godson
的功劳..具体方案现在我也无法确认.原理类似.
是为记20070913
终于可以了,大家继续等待吧。快了。20070922
在刺猬的不断努力下,
今天正式宣布904绕过imsi检测
使用思路方法正确获得成功!
再次向刺猬。
刺猬提到的编程高手/xixing傑傑,
以及朱熹表示祝贺!
20070922
不久将公布测试版本的代码--只要不出现重大情况就发布。时间现在不能确定。20070928
上网的测试,这个是连接电脑时候的截图。
速度很快。现在还不能直接在手机上面上网。20071008
920sh即将上市
904工作也许可以放下了
但是920还有更多的路需要走
最近更新很慢
但是工作也许也是到了最后了
稳定的测试还在进行
进展肯定超出很多人的想象。
20071015
今天904出奇得稳定,不知道为什么。正在研究。
20071019
今天起没有实质进展发布就不再更新此帖。
斑竹说此帖已经对大众没有意义。
不论是如何,
还是让这帖和普通帖子一样自生自灭吧
蓝色是一个供大家简单交流的地方,
有自己的规矩。
技术交流还是找对人私下交流吧。
20071020
移动电话在收到TMSI后,发送由同样的算法和密钥加密后的响应来确认接受。之后,当用户和网络通信时,他使用临时标识代替真正的身份。
TMSI再分配过程中的加密可以被视为进一步的安全措施
TMSI是GSM系统用户的临时标示符。它存储在GSM网络的VLR中,并分配给GSM网络的相应用户。它用于在一定时间内代替用户的真实身份。这样可以保证IMSI不经过无线网络传输
1)TMSI 是一个32Bit的号码,是手机进行ATTACH或位置更新时网络给手机分配的一个号码。
2)手机进行主叫或被叫时需要附带自己的电话号码,考虑到安全方面原因,不能携带本身电话号码,以免被空中截获。在网络端会有TMSI与电话号码的对应表。
3)TMSI尽量短,因为它占用的是RACH或PCH信道.传输资源比较紧张,另外短号码被截获的可能性较低。
4)在待机状态下,网络向手机发送信号都是以TMSI进行发送的,不是用号码
而是AUTH的次数.一般在交换机中可以设定一个参数来定义使用密钥,即鉴权3元组(3G使用5元组)的频率.如10次联系(包括location update, MOC,MTC, SMS...)鉴权1次.
而TMSI的分配也可以相似的频率参数,如每20次重新分配一次. 当然两者是分开的.
一般在运行局中,常见的值是5~10. 这样能在信令负荷与保密性上得到平衡.
另外,TMSI不止在同一交换机下可以用,在不同的交换机下也可以使用.
由于SIM卡会将它最后所在的位置(MSCID,LAC,CELLID)和TMSI记录下来.这样当手机在另一个交换机下登记时,它可以使用原来交换机的MSCID+TMSI找到它在原先交换机中的数据.而原交换机可以将这些数据发给新的交换机,再又新交换机给手机重新分配一个TMSI.这样,在整个过程中就不会在空中接口使用IMSI了.-----------------------------------------------------------------------------------------------------引自互联网
如何突破这个tmsi?
敬请参阅http://bbs.blueshow.net/read.php?tid=437500&fpage=0&toread=&page=1
904使用非VDF卡打电话接电话收发短讯,非解锁。877代码放出。继续完善,1楼持续更新中
904这机器按照理解应该支持stk的哦,,,可是我在菜单里面找了很久都没有能够找到!
众位!!!!!有没有人知道stk菜单在哪里????????
5张图片表明这个904启动在非装vdf卡时,能够进入菜单并使用
双usim卡切换无法绕过imsi检测的原因是因为加载usim数据的时候机器做了部分程序以及硬件的初始化,或者叫复位动作20070309
不要啊!!!大家只顾关心解锁的 内容了:(
我在问stk菜单在哪里?结果没有人回答
经过认真的寻找,,,904 不能在我这张stk卡读取到stk菜单。没有不同规格的stk供测试,试验到此结束!谢谢众位!
ps:904只能使用vdf的卡的确很遗憾,,不过可以把imsi号写到测试卡里面当做usim卡开机使用全部功能。也就是说这个904的网络锁是通过imsi来识别是否是合法用户并开放机器功能--呵呵,网络功能呢除外:)
那么到底这个imsi锁了哪几位的数字作为机器识别用的呢?^_^
就是imsi的第1-8位中的第3,5,6,7,8位例如
12345678位
084904020000000000
084906000111111111
就第一个合法,因为这个代表日本--就是所谓的网络锁通过鉴别这个字冠4,0,4,0,2(到了机器里面地址位由低到高为440-20)来识别开机卡的合法与否,第二个前8位则是中国移动的国际字冠
关于一卡多号的卡使用在904上面,的确是可以启动机器进菜单
进入菜单后换号码可能904还要检测imsi号
如果检测那么无论是什么类型的一卡多号的卡都不可以通过用一卡多好绕过
imsi检测,但是根据智能卡的不同,如果不再检测imsi就可以使用国内的号码啦
现在已经确认的是大部分一卡多号都不能在904上绕过imsi检测
唯一没有上机器测试的就只剩下877卡做的可以手动写imsi的一卡多号的卡了
谁有这种卡做的一卡多号的卡,我可以提供可以启动机器的文件,写入卡片做号码切换测试就可以真像大白啦,能就行,不能的话就彻底这个方法不行啦注意一定是要877做的,别的已经测试过啦不可以的
有谁的904在进settings-network settings-select network-manual
后可以检测到这个画面?这个图示是请求用户选择登陆到已检测到两个网络中的哪个网络。此时904使用的是中国移动的帐号在注册网络,选的是手动选择网络。离注册到基站只剩下最后一步发送握手信息了。除了关闭国别鉴别还有别的选择吗?--如果关闭基站检测国别,此时的904再按一下选择中国移动,904就正式登陆到网络上了--将可以在国内的网络中使用:)
握手之前的最后一步
fbi008测试请看169楼。
双usim卡测试也是失败的。
而且和大唐的卡还有部分功能交换不够正常。咳,国内的卡啊。就只能这样子喽
3月底这样还要交测试报告。咳
上硬电路切换的事情不知道什么时候才能完成。咳
希望有条件的兄弟还是从硬电路动手吧。争取早日看到结果。
我查过相关资料,网络锁这个问题通常都是由软件来完成功能模块的硬触发。由软件来着手解决姣好。但是我就是不死心,总觉得要试试:(
以下资料来自互联网:
GSM 的加密系统里面大致涉及三种算法,A3,A5,A8,这些并不特定指代什么算法,只是给出算法的输入和输出规范,以及对算法的要求,GSM 对于每种算法各有一个范例实现,理论上并没有限制大家使用哪种算法。但是世界上的设备商和运营商都是一样算法。
简单介绍一下 SIM 卡, SIM 卡是一种智能卡片,里面有个非常简单的 CPU 和一点 NVRAM,可以存储和读出数据,还可以进行一些运算。卡里面有很多内容,不过我只介绍和加密相关的。每张 SIM 卡里面一般都存着一个全球唯一的标志号,叫做 IMSI,这个是用来唯一标识你 SIM 卡的,手机在开机时候会从卡里面读出这个号发给移动网络,移动那里有一个很大的数据库,描述了 IMSI 和手机号的对应关系,于是网络就知道你的手机号是多少了(如果你手机卡丢了去补,新补来的卡 IMSI 和原有的不同,而移动数据库那里将你原来的手机号指向新的 IMSI,旧的卡就再也不能用了)除了 IMSI ,还有 16 个字节的密钥数据,这个数据是无法通过 SIM 卡的接口读出的,通常称为 Ki, Ki 在移动网络那边也保存了一份。
在手机登录移动网络的时候,移动网络会产生一个 16 字节的随机数据(通常称为 RAND)发给手机,手机将这个数据发给 SIM 卡, SIM 卡用自己的密钥 Ki 和 RAND 做运算以后,生成一个 4 字节的应答(SRES)发回给手机,并转发给移动网络,与此同时,移动网络也进行了相同算法的运算,移动网络会比较一下这两个结果是否相同,相同就表明这个卡是我发出来的,允许其登录。这个验证算法在 GSM 规范里面叫做 A3,m = 128 bit, k = 128 bit, c=32 bit,很显然,这个算法要求已知 m 和 k 可以很简单的算出 c ,但是已知 m 和 c 却很难算出 k 。A3 算法是做在 SIM 卡里面的,因此如果运营商想更换加密算法,他只要发行自己的 SIM 卡,让自己的基站和 SIM 卡都使用相同的算法就可以了,手机完全不用换。
在移动网络发送 RAND 过来的时候,手机还会让 SIM 卡对 RAND 和 Ki 计算出另一个密钥以供全程通信加密使用,这个密钥的长度是 64 bits, 通常叫做 Kc, 生成 Kc 的算法是 A8 ,因为 A3 和 A8 接受的输入完全相同,所以实现者偷了个懒,用一个算法同时生成 SRES 和 Kc 。
在通信过程中的加密就是用 Kc 了,这个算法叫做 A5 ,因为 A5 的加密量很巨大,而且 SIM 卡的速度很慢,因此所有通信过程中的加密都是在手机上面完成的,这样一来,除非天下所有 GSM 手机都至少支持一种相同的 A5 算法,否则就没法漫游了,这时候运营商和设备商的懒惰又体现出来了,全世界目前只有一种通用的 A5 算法,没有其他的,这个算法就是和 Kc 的 8 字节序列进行简单的循环 XOR,再和报文序号做个减法。
GSM 的加密通信过程,实际上 GSM 的操作比这个还要复杂一些,比如除了第一次登录时候用真正的 IMSI ,之后都是用商定的临时标识 TMSI ,不过这个不是讨论的重点。
来自互联网的资料到此结束。
[s:72] [s:72] 904到目前还没有能够解网络锁,
世界上能够在中国用的904只有两种:
国际漫游的和移动联通通过修改服务器端数据库的测试用户
904硬件切换imsi号码测试工作得到众多网友的支持,非常感谢。
测试结果暂时不会公布--现在是因为测试程序还没有准备好,
(我不想我的机器一下就报废),
之后将会考虑到网络这个因素适时适当的公开部分结果。
如果大家一直看不到结果,,呵呵,就不要追问啦,
,肯定是因为没有好结果:)气的我自己也不想说了:(
20070309
目前还不清楚是否904的软件设计得有多严谨是否有漏洞足够卡间数据切换,
这将会直接关系到我的思路的死活。如果没有足够的漏洞,我一切换卡间数据
估计就会死机或者加密锁定。最乐观就是绕过去但是注册网络会遇到不清楚的问题
20070309
设备已经全部进场。
测试设备初检完成。
连接设备可以正常开关机。
连接监视程序手机断电。:(
听说南邮有国外的一套sim测试机,可惜不能借到:(
我只有自己定这个东西硬上了。
这个可以直接仿真sim卡,哈哈,还可以监视手机和sim的通讯。哈哈
可能需要自己重新写切换的程序或者整个模拟仿真的部分要重写
咳,时间时间啊
手头的测试软件还读不出usim和手机交换的数据:(
看来虽然usim兼容sim但是手机准备了不同的对应方式
换上测试卡,这次倒是可以读取数据
通过换用不同的测试卡尝试了解中。。。。
ps:绿色的哪个板子就是仿真卡。加上电脑和程序就可以仿真sim卡啦
当手机所有开机程序跑完的时候,,,就可以操作切换imsi。然后可能需要重新
搜寻注册网络--看看是否可以不用检查imsi。可以的话就算绕过了
通常的手机只要不重新注册网络都是不会检测imsi的:)
根据目前获得的数据看基本可以确定开机程序跑一段时间后检测过imsi就不再检测了
数据还有显示emm指令,多次检测均为同一数据。这个我猜是否就是。。。
不能确定,大家一起猜吧。
但是这个数据是经过运算后得到的,并非是明码。有给应用带来麻烦:(
20070315
没有头绪:((((
期望大家一起来讨论:(
20070320
是经过加密算法算了以后的交换数据-a3a8之类
20070327 sim卡仿真调试了很长时间始终还是没有搞好。很多问题。
太累
休息一下。
第17张是检测到有3G网络。(不能使用的)
20070407经过不断测试发现:只要是中途换过sim卡,或者是检测到非usim卡机器会自动锁止:(
出现refresh的画面图:18-19
有好几个xd问到照片能否有清楚的:
我这里不可以拍照的,能有摄像头拍照就不错啦。清楚的都是手机拍的。
但是手机和摄像头近距离对焦都不准的,没有办法提供清楚照片。如果有兄弟需要
可以预约视频看看或者谁借个相机给我:)
20070418
听到风声似乎真的904上2020已经告破20070418--没有亲眼看到,大家不要传话有偏差。以免误导他人。
上游的商家一直在抛货。。。。。打电话到中国夏普也无法预定到904,
证实某人在欺骗大家罢了,gz移动并没有上测试用的904:)
所谓解锁估计。。。。。。还是当做没有解锁好了 [s:71] [s:71]
这几天一直都在写程序啊,什么的,主要是sim卡的结构以及加密不是那么好写的。
不然移动公司不就早破产啦?也许就我这能力不能成功写出这样的软件,
权当是自己提高写作水平吧。20070502
经过集体讨论,想在sim上完成imsi切换是可能的,但是没有现成的例子可以参考:(
根据设计不同,实现饶过手机imsi检查应该从理论上讲是可以实现的。采取保存临时移动识别码
(tmsi)的对策应该是正确的。目前卡仿真遇到不小的困难:(
老外的设计真的是够理论的:)20070508
破解904的软件只有有loader才可以。loader相当于过河的桥。
绕过机器的imsi检测则是另外一回事。
这个是两回事情,尽管目的都是一样的。
我从大多数人的回帖看有一些人
可能误解了我的本意。我并非是要或者能够破解904的网络锁。
我只是在讨论看能否利用机器的设计缺陷达到绕过imsi检测罢了。
不能把传统意义上的破解网络锁和利用机器软件设计的漏洞而达到同样效果之间划上等号。
破解相当于架桥。
我做的相当于沿河边走看是否能绕到河对岸去。
就算我能绕过imsi检测能否正常使用还是个不确定的问号。
其实我的标题已经说明啦,不是破解。可能部分同胞没有注意,呵呵。
20070508
哇呼呼,,,终于有人关心到实际问题啦:)
加密数据的中间值一般都是没有什么价值的。没有算法不知道到底程序干了些什么。
我可以读到sim卡和机器交换的所有数据,但是
不知道什么是有效数据--就是不知道实际上这个锁检测的是哪几个字符。
除非可以直接把tmsi注入机器。也就是说关键在于db2020或者cid73
在机器运行程序的时候是否检测imsi的。或者是imsi号码是否参与了
检测程序的加密。20070511
问题是:机器注册网络用的imsi要能改变才行。
vdf的imsi和移动联通的都是不一样的。
要么让机器不检测imsi(就是破网络锁啦,当然没有锁的就读一下imsi发给基站,
但是机器不用这个来限制功能)
要么让基站不检测imsi
没有imsi移动电话基本上就不能注册网络,因为目前的基站设备都是通过imsi
和key来鉴别合法用户的
我的策略是--狸猫换太子
偷换imsi是我的对策--机器开机的时候检测imsi。
我们给机器一个vdf的imsi那么就可以进入菜单了
注册网络的时候发给基站一个移动的imsi,那么移动就
认为卡是合法用户,就可以打电话了。
另外key的问题已经解决了。20070513
最近一直忙公家的事情,进度慢很多。
前几天突然想把字库以及db2020和903的db2000拆下来
看看bga的针脚是否一致?
能否直接替换?
不知道,呆呆等待903的板子回来。
准备上最少3块903
2块904
不知道是否会让我失望。。。。。。
真是心疼啊,904没有坏板子咳。。。。
903的字库问题其实很容易解决
按照理论讲直接对字库编程应该可以解决许多重启的问题
但是bga成本是个很大的问题
没有几个有条件试验的
20070619
终于有好心人愿意赞助3块字库什么都没有动过的主板。
还是好人多啊!呵呵 [s:77] [s:77] [s:77]
各位观众。。。。
他就是大名顶顶的(序幕来开,噔噔~噔噔~~)icecat007
再次向icecat007致谢!!!!!!!
鼓掌送花。。。。。[s:59][s:59][s:59]
有没有人赞助904给我试验啊???
啊,,呵呵,,太贪心了,,还是自己来把[s:59][s:59][s:59][s:59]
20070624
icecat007 6月26中午发出3块903主板。
27日中午收到
非常感谢icecat007的无偿赞助!
大家为他鼓鼓掌吧[s:76][s:76][s:76]
经过大家一起努力直接替换2020为2000宣告失败。
换了以后直接不开机。
应该是有部分内容不配套造成的。20070717
其实真的有需要和必要给牛人Dejan Kaljevic写信
请教他一下
Dejan Kaljevic是sim卡复制的原作者
对于sim结构以及sim和手机内数据注入的流程非常清楚
需要对用于904的sim卡编程实现:
开机检测的时候注入一个imsi和注册网络时注入另一个imsi
我在编程实现的时候没有能够正确把握流程和方法
实在是水平有限。惭愧:(
一直都在恶补这部分知识。
但是进步实在太慢
不知道公开Dejan Kaljevic的信箱是否正确:)
其实网上很容易搜到的:)
Web: http://www.net.yu/~dejan
eMail: dejan@net.yu
20070720
"
需要对用于904的sim卡编程实现:
开机检测的时候注入一个imsi和注册网络时注入另一个imsi"
呵呵,看来有很多表述不准确的地方,现在明确表述如下:
我之前只是提到imsi
实际上需要做的工作是:
对sim进行编程,实现
1。使用vdf的sim卡的imsi注册中国移动网络,并在sim卡端抓取tmsi
2。注册鉴权时发出抓取的tmsi加一卡多号提取的ki
这样编程得出的sim一定可以成功绕过904的imsi检测
这个方案经过专家组的私下讨论得到认可:)
”经过集体讨论,想在sim上完成imsi切换是可能的,但是没有现成的例子可以参考:(
根据设计不同,实现饶过手机imsi检查应该从理论上讲是可以实现的。采取保存临时移动识别码
(tmsi)的对策应该是正确的。目前卡仿真遇到不小的困难:(
老外的设计真的是够理论的:)20070508”
哈哈哈,,看来中国人也是不笨啊。
这个方案原来真的可以啊!
大家都来努力吧!已经有国外编程强人实现了类似的例子了,不过是用于实现在iphone上面。
我们离“破解”904还有一小段明确的路要走而已!
20070807
关于iphone上使用的877卡及其iphone专用的SIM_EMU_6.01_iphone.HEX
目前流行的用于iphone的这个877卡及其程序只是专用于iphone
直接照搬到904是不行
已经测试不能通过。
根据测试的结果877卡上电以后第一次将提供位置0的imsi也就是非vdf需要的imsi这个就应该是
不能直接运行于904的原因了--这个等待查看源程序代码才能最终确认
实际上要一上电就提供vdf的imsi供904开机。
然后就立即或者测试后定下次数提供国内的imsi就可以
思路基本就是这样了,大家一起来修改iphone的这个程序吧。
测试的结果是iphone的877上电只是第二次读imsi时提供一个at&t的imsi但是不是904需要的第一次
上电就提供。但是网上流传的说法却是iphone的877是第一二两次提供at&t的imsi--这个可能有错。
请大家来鉴定
20070905
904sh已经搞了一半了.为id:刺猬及其同事Godson
的功劳..具体方案现在我也无法确认.原理类似.
是为记20070913
终于可以了,大家继续等待吧。快了。20070922
在刺猬的不断努力下,
今天正式宣布904绕过imsi检测
使用思路方法正确获得成功!
再次向刺猬。
刺猬提到的编程高手/xixing傑傑,
以及朱熹表示祝贺!
20070922
不久将公布测试版本的代码--只要不出现重大情况就发布。时间现在不能确定。20070928
上网的测试,这个是连接电脑时候的截图。
速度很快。现在还不能直接在手机上面上网。20071008
920sh即将上市
904工作也许可以放下了
但是920还有更多的路需要走
最近更新很慢
但是工作也许也是到了最后了
稳定的测试还在进行
进展肯定超出很多人的想象。
20071015
今天904出奇得稳定,不知道为什么。正在研究。
20071019
今天起没有实质进展发布就不再更新此帖。
斑竹说此帖已经对大众没有意义。
不论是如何,
还是让这帖和普通帖子一样自生自灭吧
蓝色是一个供大家简单交流的地方,
有自己的规矩。
技术交流还是找对人私下交流吧。
20071020
