home *** CD-ROM | disk | FTP | other *** search

---

/ Group 42-Sells Out! - The Information Archive / Group 42 Sells Out (Group 42) (1996).iso / hack / tv / sat / euro / t / vidocrpt.txt

< prev

Wrap

Text File  |  1994-06-01  |  7KB  |  167 lines

---

1.  
2.  
3.  
4.                  ==========================
5.  
6.  
7.                          VIDEOCRYPT
8.  
9.  
10.                  ==========================
11.  
12.  
13.  
14.  
15.  VideoCrypt is without doubt a resilient system. It has been hacked
16. in the past eighteen months and it has recovered successfully. The
17. fact that it has been hacked illustrated that it is not pirate proof or
18. indeed hacker proof.
19.  
20.  
21.   When the system was launched, some of the public relations
22. people claimed that it was the most pirate proof system yet devised.
23. This pirate proof attribute was a myth. A myth is an attempt to explain
24. a reality with the mental tools available. Therefore since the public
25. relations people neither understood the abilities of hackers or
26. security of the system it would be, to them at least, pirate proof.
27.  
28.  
29.   The philosophy of the VideoCrypt system is that of the Detach;
30. Secure Processor. The decoder itself is merely a dumb terminal.
31. detachable secure processor is the smart card. Theoretically
32. smart card contains the Critical data and the decoder contains not
33. of significance. This "dumb terminal' idea has been echoed by N
34. Datacom and Sky executives.           
35.  
36.  
37.   The scrambling technique used in VideoCrypt is line cut and rotate.               
38. The video is digitised and then cut at one of 256 possible points. the              
39. digitised video segments are then rotated about this point and the                  
40. digital video is converted back to analogue.
41.  
42.  
43.   The fact that the cut point is one of 256 points means that it can be           
44. defined as an eight bit word. This byte is supplied by a Pseudo
45. Random Number Generator. The PRNG is sixty stages long and is
46. reset approximately every two and a half seconds. The seed is sent in
47. an encrypted format in the vertical blanking data.
48.  
49.  
50.   VideoCrypt transmits addressing and access control data in a few
51. lines of the VBI. The data rate is slower than that of teletext. Each of
52. the packets of data has a checksum. This checksum is a product of
53. the active data in the packets. 
54.  
55.  
56.   The checksum is apparently not a standard one. It is, according to
57. sources, some sort of message digest or hash function. The data is
58. fed into a routine that generates a fixed length output. This output
59. block is attached to the data packet. If any of the bits in the data are
60. changed, the change will be detected. The decoder will run the data
61. through the same routine. The output block should be the same as
62. that transmitted with the data packet. If the comparison check fails
63. then the data has been altered.
64.  
65.  
66.   Only 585 lines or so in each frame are scrambled. This is to enable
67. the VBI signals to be checked without descrambling the video. The
68. reason for this is so that the signal quality can be checked on SMATV
69. and cablenets without having to descramble the signal. It is a
70. standard feature on most scrambling systems.
71.  
72.  
73.  
74. Decoder Architecture
75. ====================
76.  
77.   The VideoCrypt stand alone decoder is a hybrid design. It uses
78. both discrete components and surface mount components. This is
79. necessary to reduce the size of the board. The board type used in the
80. early stand alone decoders is SRBP or synthetic resin bonded paper.
81. It is not the most reliable of board materials but it is one of the
82. cheapest. It does reject the television manufacturing industry as most
83. of the boards in television receivers are SRBP.
84.  
85.  
86.   In the IRD version, the power supply is part of the main receiver 
87. PSU. There are four voltage rails in the decoder: +21V, +12V5, +15V 
88. and +5V. The main part of the circuitry runs off of the +5V0 rail. 
89.  
90.  
91. The House Keeper microcontroller
92. ================================
93.  
94.   The main processor in the descrambler is the 8052 from Intel. This 
95. is a microcontroller and has an on-chip ROM and RAM. There are
96. also two types of this microcontroller available; the BASIC  ROM
97. version and the Mask programmable version. It is probable that the
98. version used in the descrambler is the Mask version. This means that
99. there is an 8K program running the descrambler. The 8052 can be
100. forced to disgorge the control program.
101.  
102.  
103.   Many veteran hackers who examined the Sky decoder were
104. suspicious of the ease with which the 8052 could be forced to
105. disgorge the control program. By putting a finger across pins on the
106. ICs, some very strange messages came up on the screen. One of
107. these was "FALSE CUT POINT". The control program when
108. disassembled proved to be little more than house keeping with a few
109. card zap routines.
110.  
111.  
112.  
113.   The incriminating text proved that the ZC404044 was a secure            
114. Microcontroller. There was one other way of getting confirmation - 
115. phone Motorola, the manufacturers of the chip, and ask them about         
116. the IC.
117.  
118.  
119.   Of course the fact that the program in the 8052 could be read and        
120. examined meant that the whole card to secure processor interface
121. could be monitored and where necessary the data could be modified.        
122. This has led to the most devastating hack on VideoCrypt - The             
123. KENtucky Fried Chip.
124.  
125.  
126. The Secure Processor
127. ====================
128.  
129.  The real heart of the Sky decoder is the ZC404044 or in later            
130. versions the ZC404047. The earlier decoders have an eight pin
131. EEPROM. The later versions incorporate the EEPROM data on the             
132. ZC404047. The control program is held in masked ROM and as such           
133. is very difficult to read. Ordinary attempts to disgorge it failed and    
134. there are rumours that the ICs are being reversed in the Far East. 
135.  
136.  
137. The Custom Logic
138. ================
139.  
140.   TCllOG03AP is custom logic. It handles the control of the video          
141. descrambling circuitry. This is also the most likely area for the PRNG.   
142. On same of the later versions of VideoCrypt decoders this part is         
143. labelled TCE mV-2. The TCE possibly standing for Thomson
144. Consumer Electronics. This IC also handles the clock generation for       
145. the whole decoder. The IC's clock is derived from a 28 MHz crystal.       
146.  
147.  
148. The Video Descrambler
149. =====================
150.  
151.   The video section of the VideoCrypt decoder is elegantly simple.
152. The scrambled video is digitised by a TDA8703 ADC. This turns the
153. video into a sequence of 8 bit words. The digitised video is then fed to  
154. a set of two FIFO memories. FIFO stands for first in first out. These
155. ICs are capable of storing 910 8 bit words each.
156.  
157.  
158.   Each FIFO holds one segment of the line so that reassembling the 
159. video is merely a question of switching between the two FIFOs when 
160. clocking out the data. The descrambled digitised video, with the
161. segments in the correct order, is fed to a TDA8702 DAC.
162. The multiplexing and latching is controlled by the custom logic IC.
163. The analogue video is then fed to the output stage. This stage is a
164. discrete transistor design. The video signal is clamped and the on
165. screen graphics are added. The resulting signal is filtered before
166. being routed to the SCART connector or back into the receiver.
167.