Thema Zertifikate und @opto:
Dann gab es wohl zu diesem Zeitpunkt schon "die Zäsur" bei der Behandlung der Zertifikate.
Bei meiner ersten 6490 sah das (am 26.12.2014 - die Box hing an einem KDG-Anschluß) jedenfalls noch so aus in der docsis_boot.log:
Code:
Thu Jan 1 01:01:09 1970 [INFO] [PACM.SECURITY(pid=1123)]: Reset certs, location: /nvram/2/certificates
Thu Jan 1 01:01:09 1970 [DEBUG] [PACM.SECURITY(pid=1123)]: dir /nvram/2 exists
Thu Jan 1 01:01:09 1970 [DEBUG] [PACM.SECURITY(pid=1123)]: dir /nvram/2/certificates exists
Thu Jan 1 01:01:09 1970 [INFO] [PACM.SECURITY(pid=1123)]: Get default certs
Thu Jan 1 01:01:09 1970 [DEBUG] [PACM.SECURITY(pid=1123)]: GetDefaultCertsFromFS
Thu Jan 1 01:01:09 1970 [DEBUG] [PACM.SECURITY(pid=1123)]: Succeeded setting link /nvram/2/certificates/manuf.cer to [COLOR="#FF0000"]/etc/certs/mta/manuf_us_ca.cer[/COLOR]
Thu Jan 1 01:01:09 1970 [DEBUG] [PACM.SECURITY(pid=1123)]: Succeeded setting link /nvram/2/certificates/iptel_root.cer to /etc/certs/mta/[COLOR="#FF0000"]cablelabs_tst_service_provider_root.cer[/COLOR]
Thu Jan 1 01:01:09 1970 [INFO] [PACM.SECURITY(pid=1123)]: Default certs copied to nvram
Thu Jan 1 01:01:09 1970 [DEBUG] [PACM.SECURITY(pid=1123)]: Debug ret 0
Thu Jan 1 01:01:09 1970 [DEBUG] [PACM.SECURITY(pid=1123)]: Security_DbCertProdDataInit success
und hinter den Zertifikaten verbargen sich noch die folgenden Dateien:
Code:
[COLOR="#0000FF"][B]# openssl x509 -in manuf_us_ca.cer -inform der -text -noout[/B][/COLOR]
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
7f:52:e6:46:47:2f:ee:58:28:d7:11:f5:f1:ae:d2:a9
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=US, O=CableLabs, OU=PacketCable, CN=PacketCable Root Device Certificate Authority
Validity
Not Before: Feb 26 00:00:00 2002 GMT
Not After : Feb 25 23:59:59 2022 GMT
Subject: C=IL, O=Texas Instruments (Israel) Ltd., ST=HERZLIA, L=HERZLIA, OU=PacketCable, OU=HASADNAOT 8, HERZLIA, CN=TI CBC PacketCable CA
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:e3:8e:7d:b0:6b:17:06:d9:44:13:2e:87:5b:ef:
12:e3:b8:e5:96:b7:64:7a:3e:3e:26:10:d5:25:46:
88:43:79:15:19:ad:0d:24:fc:a3:15:e7:6a:88:bb:
46:91:06:6b:26:8f:b2:62:82:1c:cb:f7:65:1b:bd:
89:32:f3:2d:55:d9:13:85:05:9e:94:c4:a6:da:81:
85:b5:1b:b9:9f:82:13:9c:b1:64:6a:87:e0:70:84:
d6:a9:c0:3d:3e:17:09:a1:21:c9:50:3a:a8:b6:27:
74:aa:c0:41:c7:16:58:66:ac:5f:c4:a4:da:fa:4b:
03:23:81:82:91:0d:ce:95:ff:b5:c8:b9:7b:a6:f7:
b9:d5:5b:fe:4a:4b:0b:b0:39:21:f8:d3:03:12:d0:
ae:c2:3b:95:c4:77:91:f2:da:e1:c9:20:dc:5b:09:
3d:40:8c:06:ab:82:4c:c7:a9:fe:c6:1e:ba:21:43:
b1:eb:96:3c:15:bc:f4:0c:e5:c5:7a:a7:1e:17:69:
6a:5c:1a:73:02:dc:63:12:d8:82:57:a3:35:d5:af:
02:63:f1:54:f3:54:6d:29:82:d4:da:8d:81:3f:1a:
1b:28:c2:ab:f0:e0:e2:0e:84:05:0b:0e:23:e7:c6:
2a:27:67:2b:db:e1:92:aa:3f:27:b5:0f:93:27:b4:
33:a9
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Key Identifier:
60:18:C6:E8:DD:11:3C:04:CC:6B:74:9E:19:4A:3F:FD:8F:EF:8A:89
X509v3 Key Usage: critical
Certificate Sign, CRL Sign
X509v3 Basic Constraints: critical
CA:TRUE, pathlen:0
X509v3 Authority Key Identifier:
keyid:91:94:20:7E:D5:71:B9:B0:00:61:49:51:BD:38:5C:6E:A6:ED:60:7C
Signature Algorithm: sha1WithRSAEncryption
88:28:ca:f5:97:b5:08:25:31:f8:fc:21:84:9a:ca:5a:0f:34:
2e:25:0f:d6:05:4d:9d:b7:05:dc:99:a3:79:07:31:be:c9:38:
55:a1:e0:57:39:1a:5f:3a:df:f3:22:6e:76:c0:e9:5b:12:4b:
ee:f2:95:50:a1:0f:47:15:23:c6:c8:aa:71:ab:42:6a:c9:9a:
6a:ed:ed:7b:9b:ec:a5:c9:33:f6:84:8b:9b:0a:7c:3d:ed:1b:
51:94:be:f2:27:07:57:bf:3f:d7:ba:d6:44:11:53:58:5a:73:
0f:f7:d7:58:a5:b0:f0:c1:f0:3b:ec:a5:c7:52:06:cf:81:49:
fa:95:27:c7:de:d7:1f:c4:0d:5c:81:15:d2:09:41:e5:81:3d:
8e:7c:95:1a:4d:a3:b1:c0:dc:96:b9:dd:bb:e5:17:96:31:16:
85:3e:b0:68:0a:ae:dc:3e:5d:63:20:03:33:ae:49:d4:49:f7:
b6:95:ff:4d:cc:57:5a:97:3b:e9:83:dd:53:a9:e8:9f:b7:06:
ab:c7:93:ea:f9:0f:43:5c:b2:a1:7b:22:8f:fa:4b:65:f9:9d:
68:e5:93:9c:9c:7b:08:84:f3:52:bd:d5:72:3b:67:e9:57:d6:
b4:94:94:d1:7f:e4:16:a2:6b:44:a0:81:99:01:06:cb:b8:78:
55:89:53:f6
[B][COLOR="#0000FF"]# openssl x509 -in cablelabs_tst_service_provider_root.cer -inform der -text -noout[/COLOR][/B]
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 2 (0x2)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=US, O=CableLabs, CN=CableLabs Service Provider Root CA
Validity
Not Before: Feb 18 19:26:29 2003 GMT
Not After : Feb 18 19:26:29 2033 GMT
Subject: C=US, O=CableLabs, CN=CableLabs Service Provider Root CA
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:a1:e3:51:b5:6c:46:82:7e:66:b8:5f:f2:f3:f2:
d7:56:2b:3c:2b:64:a4:ab:08:ce:3c:76:94:b6:cb:
84:a0:c7:2f:02:69:eb:ab:c9:e2:9a:e2:5a:bd:52:
fd:70:a9:8d:4e:f9:d6:f0:c6:cb:ca:78:4b:8f:e5:
9e:fe:23:d0:23:23:46:e2:3b:6e:e2:b1:30:98:38:
27:a9:13:ce:68:22:ea:17:ba:a8:ca:29:33:12:5b:
23:f5:6f:9f:51:60:0a:70:bc:42:6d:c6:d5:73:8b:
7a:81:2b:c3:74:57:38:79:61:bc:bb:90:29:fe:68:
d5:c2:04:4c:ff:8e:47:d9:99:36:28:5b:ba:5e:8f:
0b:83:96:6d:b4:e3:ef:0a:f5:34:51:37:66:0a:76:
c5:6a:13:42:02:fc:41:1f:00:f8:57:e9:7a:a1:ff:
fa:d3:53:b5:a2:23:15:ce:87:6e:41:a4:22:42:be:
09:31:5e:8b:2a:1e:97:15:a1:15:2a:1c:a6:e5:33:
b5:b1:29:db:9a:12:57:ea:da:66:35:fe:c9:d3:54:
75:8c:e7:f1:7b:b3:a5:69:6e:0f:07:96:b1:bb:d4:
c9:42:ea:03:5f:0b:d7:13:9f:33:c0:08:5f:d3:89:
64:18:8b:72:61:f9:78:cc:17:05:46:f5:c2:14:c3:
e0:fb
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Key Usage: critical
Certificate Sign, CRL Sign
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Subject Key Identifier:
6C:70:96:07:8B:70:24:AF:80:5F:E4:32:5D:3F:9A:29:F4:3C:7C:49
X509v3 Subject Alternative Name:
DirName:/CN=CABLELABS GENERATED TEST ROOT FOR EQUIPMENT TEST PURPOSES ONLY
Signature Algorithm: sha1WithRSAEncryption
78:63:8b:20:1b:b4:b8:95:1e:b8:81:ce:e6:ae:aa:65:af:c9:
e8:23:b5:38:94:e4:59:a9:f4:c4:3f:c6:cc:f8:40:d8:6a:e1:
45:15:25:cb:27:bb:80:38:16:c4:77:58:7f:28:95:c1:f3:5f:
64:38:c6:be:53:39:b8:d3:3b:30:e4:2f:b4:3b:70:ce:d2:3b:
7a:93:14:58:69:04:23:1c:ee:e6:e9:fe:0a:72:92:a7:6f:45:
99:d6:de:7e:29:f8:bd:be:88:14:b9:47:9d:18:05:7d:6b:2b:
c1:d8:74:29:56:79:4d:b2:04:ca:f4:72:35:bf:60:bf:47:d8:
33:c2:b9:66:6a:bb:d2:f1:96:a5:21:a1:67:87:e2:c9:d6:f4:
bd:58:b2:05:88:e0:66:50:b1:cf:a6:8b:e2:24:6f:28:4e:9a:
5c:af:e6:f6:d2:89:51:a6:06:c2:76:77:64:fe:65:07:99:bb:
87:66:a4:ca:b6:42:83:e0:df:3c:6d:52:33:48:57:ab:16:2b:
ac:0d:34:89:94:0b:5d:89:bc:bf:13:97:9d:2c:03:69:ae:40:
ff:28:62:8b:4f:b9:fe:b6:0e:60:34:46:b1:ea:2e:c3:10:99:
e0:40:ac:70:43:5c:63:38:33:da:07:b1:ec:55:ed:5c:d9:d9:
58:2e:5b:ae
und das, obwohl es in der Firmware durchaus auch andere Zertifikate (für EuroDOCSIS) gab:
Code:
[COLOR="#0000FF"][B]# cd etc/certs/mta;ls -la[/B][/COLOR]
total 32
drwxr-xr-x 2 peh 1000 4096 Jan 11 2016 ./
drwxr-xr-x 3 peh 1000 4096 Sep 4 2014 ../
-rwxrwxrwx 1 peh 1000 951 Sep 4 2014 cablelabs_tst_service_provider_root.cer*
-rwxrwxrwx 1 peh 1000 1063 Sep 4 2014 manuf_euro_ca.cer*
-rwxrwxrwx 1 peh 1000 1044 Sep 4 2014 manuf_us_ca.cer*
-rwxrwxrwx 1 peh 1000 13 Sep 4 2014 mtacertReplaceMe.cer*
-rwxrwxrwx 1 peh 1000 13 Sep 4 2014 mtakeyReplaceMe.bin*
-rwxrwxrwx 1 peh 1000 858 Sep 4 2014 tcomlabs_tst_service_provider_root.cer*
[COLOR="#0000FF"][B]# openssl x509 -in manuf_euro_ca.cer -inform der -text -noout
[/B][/COLOR]Certificate:
Data:
Version: 3 (0x2)
Serial Number:
64:38:7a:49:61:94:04:5e:89:2f:cd:6e:d5:35:f3:27
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=BE, O=tComLabs, OU=Euro-PacketCable, CN=Euro-PacketCable Root Device Certificate Authority
Validity
Not Before: Sep 16 00:00:00 2003 GMT
Not After : Sep 15 23:59:59 2023 GMT
Subject: C=IL, O=Texas Instruments (Israel) Ltd., ST=HERZLIA, L=HERZLIA, OU=Euro-PacketCable, OU=HASADNAOT 8, HERZLIA, CN=TI CBC Euro-PacketCable CA
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:e3:8e:7d:b0:6b:17:06:d9:44:13:2e:87:5b:ef:
12:e3:b8:e5:96:b7:64:7a:3e:3e:26:10:d5:25:46:
88:43:79:15:19:ad:0d:24:fc:a3:15:e7:6a:88:bb:
46:91:06:6b:26:8f:b2:62:82:1c:cb:f7:65:1b:bd:
89:32:f3:2d:55:d9:13:85:05:9e:94:c4:a6:da:81:
85:b5:1b:b9:9f:82:13:9c:b1:64:6a:87:e0:70:84:
d6:a9:c0:3d:3e:17:09:a1:21:c9:50:3a:a8:b6:27:
74:aa:c0:41:c7:16:58:66:ac:5f:c4:a4:da:fa:4b:
03:23:81:82:91:0d:ce:95:ff:b5:c8:b9:7b:a6:f7:
b9:d5:5b:fe:4a:4b:0b:b0:39:21:f8:d3:03:12:d0:
ae:c2:3b:95:c4:77:91:f2:da:e1:c9:20:dc:5b:09:
3d:40:8c:06:ab:82:4c:c7:a9:fe:c6:1e:ba:21:43:
b1:eb:96:3c:15:bc:f4:0c:e5:c5:7a:a7:1e:17:69:
6a:5c:1a:73:02:dc:63:12:d8:82:57:a3:35:d5:af:
02:63:f1:54:f3:54:6d:29:82:d4:da:8d:81:3f:1a:
1b:28:c2:ab:f0:e0:e2:0e:84:05:0b:0e:23:e7:c6:
2a:27:67:2b:db:e1:92:aa:3f:27:b5:0f:93:27:b4:
33:a9
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:TRUE, pathlen:0
X509v3 Key Usage: critical
Certificate Sign, CRL Sign
X509v3 Subject Key Identifier:
60:18:C6:E8:DD:11:3C:04:CC:6B:74:9E:19:4A:3F:FD:8F:EF:8A:89
X509v3 Authority Key Identifier:
keyid:DB:09:A1:10:52:7E:4E:AE:79:22:12:60:DF:90:F5:BF:2A:9E:64:80
Signature Algorithm: sha1WithRSAEncryption
39:10:c3:4c:33:41:9c:5b:60:3e:be:1f:ba:73:bf:57:e2:5d:
e1:8f:13:71:41:02:ec:4f:09:49:5e:4d:97:78:a9:f9:cb:97:
32:8c:5e:35:d0:e8:7f:0d:94:90:dc:30:b4:57:3f:65:68:10:
c4:65:f6:bc:72:87:08:eb:d3:0e:c9:b9:a3:26:6d:17:2d:ef:
2b:6d:64:92:d2:7d:a4:f1:2c:de:ad:d7:ba:fe:04:83:86:87:
6a:75:57:de:b9:82:02:4e:58:e1:d7:7e:19:e4:19:1b:0a:f0:
bb:b7:bb:93:5e:25:e5:8a:15:f7:b4:4b:53:d5:32:e0:d9:fa:
9f:38:fc:7b:68:83:82:25:bb:73:63:8a:43:f1:a8:07:55:9b:
55:c8:1d:ab:03:17:73:83:de:e6:26:4c:a4:f3:ee:09:6e:eb:
7c:79:99:f8:f4:4a:c8:0b:fb:f1:4a:54:6e:05:5d:ae:5b:88:
c0:e1:52:12:9a:68:45:3b:bb:ce:22:81:71:32:5e:cf:df:31:
48:20:96:f2:2d:23:f6:66:a2:4e:d0:fd:f4:2b:1e:60:5a:bb:
fe:f6:ac:a0:50:6f:21:81:bc:2c:71:00:35:91:bc:7d:6d:11:
4d:1d:35:73:59:a7:33:b5:94:97:90:cd:52:94:f0:68:a5:9d:
f4:c0:64:32
[COLOR="#0000FF"][B]# openssl x509 -in tcomlabs_tst_service_provider_root.cer -inform der -text -noout[/B][/COLOR]
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 15791 (0x3daf)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=BE, O=tComLabs, CN=tComLabs Service Provider Root CA
Validity
Not Before: Dec 31 23:00:00 2001 GMT
Not After : Dec 31 23:00:00 2021 GMT
Subject: C=BE, O=tComLabs, CN=tComLabs Service Provider Root CA
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:b4:03:94:de:93:cd:da:0b:8f:50:c3:c0:ec:64:
3d:ae:db:5a:ca:ed:36:e8:fc:ad:4d:74:0a:42:e8:
b0:63:4b:df:d2:9c:17:62:0f:48:f9:87:fc:3b:84:
3d:38:af:ae:ed:bf:b0:82:47:76:fe:67:fe:1b:88:
5e:fa:40:d1:25:3c:75:31:e7:27:01:1f:0a:13:50:
c6:58:1f:7f:0e:8f:a5:22:19:f6:1d:cd:93:80:2b:
76:4e:9b:a4:e9:f7:27:b9:a7:1c:f1:e7:f3:e5:83:
80:34:73:11:34:c9:ba:d7:e2:46:1b:50:7f:64:95:
73:32:7a:05:c9:4e:ef:73:fe:ac:c2:1e:37:7b:04:
61:ac:c9:d1:dd:3e:c2:da:16:f7:76:51:fd:74:22:
23:0b:31:8a:13:5b:5c:c0:83:c2:70:68:81:91:54:
6d:70:a8:d6:a4:29:99:58:a6:56:72:86:59:ce:74:
42:4e:ca:cf:87:5c:7a:a3:c4:3b:d1:db:c2:21:c0:
3a:08:f2:70:e7:ad:f2:98:d5:f1:1a:f4:18:b2:2d:
d3:44:29:24:5f:12:c2:a5:56:66:78:ea:6e:b7:d7:
76:8b:cb:ae:d0:85:83:96:d4:f8:55:33:d0:50:89:
c3:ae:17:54:f3:e0:c9:5f:5d:0b:b1:1f:29:c8:c8:
60:f9
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Key Usage: critical
Certificate Sign, CRL Sign
X509v3 Subject Key Identifier:
A7:AC:76:51:8D:37:18:37:62:68:E4:B1:FD:E8:99:7B:B7:63:2E:1B
Signature Algorithm: sha1WithRSAEncryption
b2:fa:5e:b0:61:74:3a:cc:6f:6b:6f:6c:60:17:35:7a:2d:b2:
8c:2e:ed:8c:92:e4:48:ca:57:a7:2e:07:16:d2:ef:28:e7:fe:
bc:e6:74:7b:20:ac:9f:86:ea:9e:c9:cc:8c:fb:c2:b0:f5:f0:
24:87:51:18:5d:cd:85:1f:a8:52:70:23:c0:90:d3:44:fc:5b:
b4:d3:cb:78:57:67:74:b2:22:22:ea:af:0a:ab:13:35:30:12:
e5:9b:a1:3d:36:86:eb:96:88:91:8c:b0:50:46:6e:13:84:bc:
b2:10:52:d2:f3:8c:be:6b:b0:d3:4e:99:45:ae:8c:dd:71:10:
dc:4e:cb:c9:44:ca:b0:c7:9f:7f:96:e3:96:da:20:2d:2d:6e:
1a:42:e8:be:40:6a:60:2d:b1:7e:9b:af:00:ad:57:75:b6:34:
46:a7:be:7d:8d:4a:da:95:7a:c2:fc:f9:ba:a4:16:f2:e3:41:
96:5e:ac:0b:b1:af:dc:c1:09:ce:2f:dd:f5:64:96:9e:c3:27:
15:1d:72:6a:10:70:d1:30:13:87:0d:5a:fa:49:af:8d:e0:06:
27:fa:5d:32:5c:1e:95:d0:f4:2b:7f:c9:f7:27:99:ed:f2:9a:
1c:2a:d4:dd:4e:4f:65:11:76:05:1d:9c:e2:d4:a0:c0:b2:77:
d3:29:28:b6
Man sieht schon an den Daten in den Zertifikaten, daß diese eher älteren Datums sind/waren und daß dort zumindest noch keine Prüfung gegen AVM-eigene Zertifikate erfolgen konnte (es gab dort schlicht keine).
Es gibt auch keine weiteren Stellen im DOCSIS-Bootlog, wo irgendwann andere Zertifikate verwendet wurden (zumindest nicht lt. dieses Protokolls), da kann man m.E. mit hinreichender Wahrscheinlichkeit vermuten, daß die Box damals tatsächlich noch mit den Test-Zertifikaten von CableLabs im KDG-Netz gearbeitet hat. Die privaten Schlüssel für diese Test-Zertifikate müßte es irgendwo bei CableLabs gegeben haben, sicherlich nur für "berechtigte Interessenten" ... im Prinzip ist das (soweit ich weiß bzw. man das "von außen" erkennen kann) auch heute noch so, auch wenn die "neuen Testzertifikate" jetzt wohl von
Excentis verwaltet werden.
Die im Listing zu sehenden Platzhalter mit dem "replace me" im Namen sind auch der Grund gewesen, warum ich ab und an mal die Vermutung geäußert habe, die KNB könnten unter Umständen die über CVC-Dateien verteilten Updates selbst signieren, wenn sie das wollten. Ob davon jemals Gebrauch gemacht wurde bzw. ob das die Firmware tatsächlich gegen alle dort liegenden Zertifikate getestet hat (diese eigenen sollten sicherlich nicht auch "mtacertReplaceMe.cer" heißen), weiß ich aber auch nicht sicher - das sind alles Vermutungen und das habe ich (hoffentlich) auch jeweils deutlich gemacht, wenn ich es irgendwo erwähnt habe.
In neuer Firmware (06.61) ist jedenfalls
ein (älteres) AVM-eigenes CA-Zertifikat als /etc/docsis/security/euro_mfg_cert.cer hinterlegt:
Code:
[COLOR="#0000FF"][B]# openssl x509 -in euro_mfg_cert.cer -inform der -text -noout[/B][/COLOR]
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
18:d9:3d:04:72:8f:ce:2f:ba:a7:81:a8:1f:92:6a:43
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=BE, O=tComLabs - Euro-DOCSIS, OU=Cable Modems, CN=Euro-DOCSIS Cable Modem Root CA
Validity
Not Before: Jul 30 00:00:00 2009 GMT
Not After : Jul 29 23:59:59 2029 GMT
[COLOR="#008000"]Subject: C=DE, ST=Berlin, L=Berlin, O=AVM GmbH, OU=Euro-DOCSIS, OU=Germany, CN=AVM GmbH Cable Modem Root Certificate Authority[/COLOR]
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:97:91:e8:b9:3e:11:06:90:2f:9d:6e:97:43:c5:
97:49:ca:af:f1:84:1b:71:ef:1b:8f:ee:68:20:32:
79:a2:64:c6:61:8c:30:25:8d:a0:b3:c8:41:07:3e:
73:17:8a:39:39:87:f2:ee:9b:3c:f3:08:9d:2a:f7:
5a:ef:25:1b:40:97:3e:44:ee:cd:ad:a8:24:2a:d2:
b4:ff:cf:5f:60:8b:78:7f:a9:22:c2:dd:f7:90:ec:
97:f7:aa:2a:39:4f:a2:4b:74:ce:e5:69:8d:85:56:
04:d4:5f:2e:12:fb:72:e8:3c:2c:29:92:86:6e:1a:
b7:95:1d:8c:f5:e1:69:5d:52:e9:27:cf:eb:5b:49:
24:6f:b2:4e:fa:25:40:c7:91:b1:84:ff:da:0f:b4:
49:03:79:55:c9:b2:4f:f8:a7:9a:2e:00:45:3f:b4:
c5:e5:8a:34:93:ff:de:df:c8:18:90:50:e6:20:b5:
22:70:78:bd:06:f2:4d:2f:94:65:ea:16:36:92:b8:
01:db:92:dc:80:89:9a:ce:83:01:11:9e:28:eb:0c:
9c:6f:fe:46:25:fe:8c:09:a4:27:fe:51:12:42:d9:
11:38:72:37:36:d7:78:62:0a:1d:03:97:68:a4:51:
cb:49:78:96:f4:40:31:7f:7c:0d:d5:14:f4:6e:3f:
5f:61
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:TRUE, pathlen:0
X509v3 Key Usage: critical
Certificate Sign, CRL Sign
[COLOR="#FF0000"]X509v3 Subject Key Identifier:
85:F4:97:A4:C2:05:EB:4F:10:38:16:B4:AD:55:0B:4D:00:17:84:F0[/COLOR]
Signature Algorithm: sha1WithRSAEncryption
23:79:27:15:b2:33:f7:42:4d:11:8a:ad:89:68:4f:01:c8:d6:
67:9a:65:99:5e:c7:25:e4:71:62:21:21:a5:af:86:8e:c6:47:
54:2e:df:ed:6c:c5:fb:16:23:76:07:93:19:e6:c0:a2:42:ce:
09:6a:8f:4e:a1:ea:f6:b6:fa:f9:a0:62:3d:f9:01:e5:06:7a:
bc:93:05:29:3a:8a:33:49:45:3e:bd:33:16:e6:c8:81:0c:d8:
71:56:d2:5f:77:a3:20:28:cf:59:89:82:5e:c4:99:f7:15:28:
d5:39:71:ca:7d:c5:b9:e0:1f:8b:9c:45:fd:71:27:1d:77:4a:
44:b0:dd:d3:04:e8:51:69:ec:f1:41:de:0c:55:4a:eb:d8:72:
ee:d7:e0:b1:c3:b1:d2:56:4c:db:20:bb:c7:2f:d2:6f:2e:b3:
c6:c6:02:66:ac:44:0c:1d:34:d3:89:4d:4d:d7:1c:c9:8c:1f:
47:73:51:97:cc:22:aa:19:e9:a3:99:1c:fe:c8:17:4d:56:f6:
41:2d:58:0e:22:11:d5:d5:0a:3d:ca:6d:f8:ed:3f:db:db:bd:
1e:47:34:c4:a6:50:b4:48:9b:f1:71:0b:4a:c0:3b:81:68:4e:
db:b2:04:1a:11:62:a9:37:dc:05:e6:df:36:54:b3:2e:d2:71:
a8:4a:db:19
und das stimmt auch nicht mit dem Zertifikat überein, mit dem die CM-Zertifikate signiert werden (in einer "2000 2657"):
Code:
# openssl x509 -in mfg_cert.cer -text -noout -inform der
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
16:44:e7:85:bf:c6:03:f4:c4:fc:8e:d8:51:92:c5:ce
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=BE, O=tComLabs - Euro-DOCSIS, OU=Cable Modems, CN=Euro-DOCSIS Cable Modem Root CA
Validity
Not Before: Mar 13 00:00:00 2015 GMT
Not After : Mar 12 23:59:59 2035 GMT
Subject: C=DE, ST=Berlin, L=Berlin, O=AVM GmbH Berlin, OU=Euro-DOCSIS, OU=Germany, CN=AVM GmbH Berlin Cable Modem Root Certificate Authority
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:f9:03:9b:f2:6a:6f:03:7f:5d:a5:10:33:4e:b7:
4b:ec:52:39:d3:ef:31:af:e3:db:53:6d:fe:ed:33:
23:d7:8a:35:bc:d9:be:c1:ad:4f:5d:fd:0c:50:8e:
8a:3a:8b:fa:7f:d0:fc:18:15:be:90:8e:7f:7f:ef:
f1:6d:7f:fa:24:53:fb:71:90:81:18:60:db:70:ef:
d0:19:b1:8e:de:60:a2:53:04:fe:dd:62:fa:57:49:
39:82:fc:d8:81:76:7d:4c:1a:9e:8d:86:d5:94:e4:
2a:c5:8b:2d:a8:eb:df:76:8a:22:c7:76:07:35:41:
0b:a1:de:80:fb:3a:e6:02:19:49:59:16:e1:03:a7:
71:84:c1:7b:20:48:66:b9:bf:3a:d6:e3:92:e3:0a:
ed:8f:73:51:77:2f:18:b7:f7:2d:78:b8:12:ed:8d:
84:2c:0a:7b:84:f8:68:ff:ef:38:d3:79:66:28:32:
13:0f:20:93:dc:46:c5:10:1b:dd:f1:0d:60:4b:a8:
19:4f:34:c4:12:b5:11:d2:dc:f6:36:52:11:1c:d7:
93:11:ea:cb:23:92:c6:a0:4b:d3:1e:70:6a:36:c0:
9f:0c:d0:c0:24:f1:62:7a:ea:af:48:3b:87:2d:42:
a1:6f:3b:07:32:44:47:29:45:7d:73:65:b9:47:90:
0f:a7
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:TRUE, pathlen:0
X509v3 Key Usage: critical
Certificate Sign, CRL Sign
X509v3 Subject Key Identifier:
18:60:9C:43:B2:F2:5B:A2:3A:AD:98:C4:E6:E7:C9:7F:C0:B0:11:FC
Signature Algorithm: sha1WithRSAEncryption
19:e6:69:94:db:50:90:3e:f3:72:81:0a:ad:fc:48:0e:a1:d3:
f8:2f:f3:2b:b3:14:9f:0a:84:7a:03:58:92:e1:01:3f:93:46:
16:fc:ea:5a:96:47:c7:5b:50:8e:dd:1a:cc:48:74:ec:89:9f:
ba:eb:ed:98:b2:0c:8b:a1:93:47:0f:fd:0e:ad:e8:fc:15:c9:
a5:0e:21:0b:95:f1:d8:a1:15:77:7d:d6:d1:81:2a:e6:3f:e3:
49:ac:41:fe:0f:ec:fc:15:53:47:10:19:be:d9:ff:50:b1:d4:
9c:8e:1e:d8:4b:06:0e:d5:4a:c0:ba:66:10:a9:48:cf:2f:3f:
3d:d9:4d:2a:2b:3c:86:01:fc:db:93:17:59:99:1c:2d:85:cc:
22:38:d7:20:2e:17:30:07:4a:04:b4:28:50:80:a4:1a:38:20:
e3:71:50:d0:01:20:4d:93:0a:8c:b3:b7:62:02:9e:45:09:d3:
65:dc:b6:3c:40:af:bb:4f:80:0c:db:b2:bd:05:e0:c0:39:0d:
89:2b:55:15:59:63:13:af:46:23:9b:02:1a:ad:25:1f:06:6c:
77:b5:52:bd:5b:e2:1a:47:84:08:34:6f:50:6d:35:c2:f2:e8:
10:64:eb:fa:a3:9d:da:b6:27:24:c8:95:0e:81:3c:9a:df:e6:
dd:5b:c3:66
Daher kam ich irgendwie auf den Trichter, es könnte zwei unterschiedliche Hersteller-Zertifikate für die abweichenden Artikelnummern geben.
Aber dann hat AVM wohl irgendwann nach dem 15.03.2015 (da wurde das letzte Zertifikat ja gültig) schon mit der Produktion von Boxen mit "richtigen Zertifikaten" begonnen und nicht erst in der Vorbereitung von Boxen für den Einzelhandel.
Wenn tatsächlich auch Boxen mit einem Herstellungsdatum in diesem Jahr (sagen wir mal seit Juni 2016) ein Zertifikat haben sollten, das um den 15./16.10.2015 erzeugt wurde (wenn man "gültig ab sofort" bei der Erstellung unterstellen will), dann war das wohl doch ein "Batchlauf", bei dem viele viele Zertifikate "auf Halde" produziert wurden (es wird ja die MAC-Adresse "zertifiziert" als CN) und nun vermutlich irgendwo in einer Datenbank (hoffentlich in einer stark gesicherten) herumliegen.
- - - Aktualisiert - - -
Die erste Box (Weihnachten 2014) war auch "HWSubRevision 3" mit Bootloader 1.2099 - neuere hatten dann "HWSubRevision 4" und unterschiedliche Bootloader-Revisionen.
- - - Aktualisiert - - -
Das "MTA" steht ja normalerweise für "multimedia terminal adapter" (und sicherlich auch das "mta" oben im Pfad bei alter Firmware), bei einem Gerät wie der 6490 würde ich aber davon ausgehen, daß der Abschnitt "Secure software download" im
RFC 4682 für das komplette Gerät gilt (hier handelt es sich ja um ein "embedded MTA" - E-MTA):
RFC 4682 schrieb:
Although E-MTAs have their software upgraded by the Cable Modem according to the DOCSIS requirements, S-MTAs implement a specific mechanism for Secure Software Download. This provides a means to verify the code upgrade using Code Verification Certificates and is modeled after the DOCSIS mechanism implemented in Cable Modems.
Nun könnte es natürlich auch noch sein, daß für das (besser wäre wohl "den") MTA da tatsächlich auch andere Zertifikate zum Einsatz kommen als für den "DOCSIS"-Teil der Box - dann wären die oben stehenden Unterschiede in den Zertifikaten auch erklärlich, aber warum sollte es sich hier um Zertifikate für Software-Updates handeln? Zumal auch die Daten der älteren (EuroDOCSIS- und EuroPacketCable-)Zertifikate nicht mit denen übereinstimmen, die man heute auf der Excentis-Webseite als Root-CA findet.
