Die Seriennummer ist nichtmal so wichtig, selbst eine 6.23 kann das neue Zertifikat haben.
Du meinst hier "Die Firmware-Version ist nicht einmal so wichtig, ..."? Das würde wieder logisch erscheinen, denn daß es keine Kopplung zwischen der FRITZ!OS-Version und dem Vorhandensein eines (aktuellen und gültigen) CM-Zertifikates im Urlader-"config"-Bereich gibt, wäre ja wieder klar.
Hinter dieser (jetzt ja dann wohl hoffentlich überall ungültigen) Seriennummer verbirgt sich das AVM-Zertifikat für den "public key" (2048 Bit):
Code:
00:97:91:e8:b9:3e:11:06:90:2f:9d:6e:97:43:c5:97:49:ca:af:f1:84:1b:71:ef:1b:8f:ee:68:20:32:
79:a2:64:c6:61:8c:30:25:8d:a0:b3:c8:41:07:3e:73:17:8a:39:39:87:f2:ee:9b:3c:f3:08:9d:2a:f7:
5a:ef:25:1b:40:97:3e:44:ee:cd:ad:a8:24:2a:d2:b4:ff:cf:5f:60:8b:78:7f:a9:22:c2:dd:f7:90:ec:
97:f7:aa:2a:39:4f:a2:4b:74:ce:e5:69:8d:85:56:04:d4:5f:2e:12:fb:72:e8:3c:2c:29:92:86:6e:1a:
b7:95:1d:8c:f5:e1:69:5d:52:e9:27:cf:eb:5b:49:24:6f:b2:4e:fa:25:40:c7:91:b1:84:ff:da:0f:b4:
49:03:79:55:c9:b2:4f:f8:a7:9a:2e:00:45:3f:b4:c5:e5:8a:34:93:ff:de:df:c8:18:90:50:e6:20:b5:
22:70:78:bd:06:f2:4d:2f:94:65:ea:16:36:92:b8:01:db:92:dc:80:89:9a:ce:83:01:11:9e:28:eb:0c:
9c:6f:fe:46:25:fe:8c:09:a4:27:fe:51:12:42:d9:11:38:72:37:36:d7:78:62:0a:1d:03:97:68:a4:51:
cb:49:78:96:f4:40:31:7f:7c:0d:d5:14:f4:6e:3f:5f:61
- das Zertifikat wurde am 30.07.2009 gültig und würde (theoretisch) noch bis zum 29.07.2029 gültig sein ... außer es wird vorher "revoked" und die betreffende CRL findet dann auch noch den Weg zu demjenigen, der die Gültigkeit prüfen will/soll.
Der Witz an der Sache war es, daß in älterer Firmware für die 6490 (ich habe hier die 06.10) neben dem erwähnten Zertifikat auch noch der dazugehörige
private(!) Schlüssel enthalten war (zur Kontrolle: der "private Exponent" (d) beginnt mit 62:ac:49 und endet mit "a1:da:a5) ... ich
vermute mal, daß da jemand das für PACM notwendige CM-Zertifikat "on the fly" (oder "dynamisch") erzeugen und signieren wollte.
Damit konnte dann aber jeder, der den Schlüssel aus der Firmware extrahieren konnte, ebenfalls mit diesem Schlüssel gültige Zertifikate unterschreiben, die von den KNB akzeptiert würden, solange das AVM-Zertifikat als Sub-CA "trusted" ist.
Es war also ohnehin höchste Zeit, daß diesem Zertifikat das Vertrauen bei den KNB entzogen wurde. In letzter Konsequenz ermöglicht die Kenntnis des privaten Schlüssels für ein CM-Zertifikat das Belauschen der verschlüsselten Kommunikation des entsprechenden Modems mit dem CMTS, solange man sich in demselben Kabelsegment befindet - schließlich ist das die Basis für (das früher verwendete) BPI(+) und (das aktuelle) SEC.
Von der Möglichkeit des "Klonens", wenn man selbst ein (vom KNB akzeptiertes) CM-Zertifikat erzeugen könnte, fange ich gar nicht erst an - hier könnte ja auch der KNB entsprechend gegensteuern, wenn der parallel noch überprüft, daß es tatsächlich keine doppelten MAC-Adressen aktuell in seinem Netz gibt.
Wobei das sicherlich zusätzlicher Datenbank-Aufwand wäre (aber auch die aktuell zugeteilten IP-Adressen müssen ja wegen der VDS ohnehin verwaltet werden) ... ob das "ein großer Anbieter" dann immer performant bewältigen kann, steht wieder auf einem anderen Blatt. Ich bin ja immer noch der Meinung, daß die zwei größeren
Kabelausfälle bei VF Anfang/Mitte Juli u.a. auch mit der Umstellung im (ehemaligen) KDG-Netz zusammenhängen könn(t)en.
@ASWO:
Zum CM-Zertifikat gehört dann aber auch der passende private Schlüssel (aber auch der steht natürlich in der Box) ... das Zertifikat selbst übermittelt das CM jedenfalls sogar freiwillig an das CMTS - schließlich ist das "sein Ausweis".