Fritzbox 6490 Cable Firmware Update?

... Zertifikate aus dem Urlader ...

habe gerade gesehen, dass es verschiedene BootloaderVersionen/Urlader-Versionen sowie HWSubRevisions bei der FB6490 gibt:

post2132294:
Code:
ProductID:            Fritz_Box_HW213a
HWRevision:           213
[COLOR=#0000ff]HWSubRevision:        3
bootloaderVersion:    1.2279
[/COLOR]firmware_info:        141.06.26
firmware_version:     kdg
[COLOR=#0000ff]urlader-version:      3279
[/COLOR]




post2138010:
Code:
ProductID:            Fritz_Box_HW213a
HWRevision:           213[COLOR=#0000ff]
[/COLOR][COLOR=#0000ff]HWSubRevision:        4
bootloaderVersion:    1.2411[/COLOR]
firmware_info:        141.06.26
firmware_version:     kdg
tr069_passphrase:     8h3yzRjbJU8A
tr069_serial:         00040E-C80E1481800C
[COLOR=#0000ff]urlader-version:      3411[/COLOR]



post222838:
Code:
ProductID:            Fritz_Box_HW213a
HWRevision:           213
[COLOR=#0000ff]HWSubRevision:        4
bootloaderVersion:    1.2567[/COLOR]
firmware_info:        141.06.50
firmware_version:     kdg
tr069_passphrase:     juAm2YUaCpCm
tr069_serial:         00040E-C80E149963F8
[COLOR=#0000ff]urlader-version:      3567[/COLOR]

ich denke, dass hier eine weitere Abhängigkeit zwischen Urlader und Zertifikate vorliegen kann, die ggf. zu prüfen ist.

EDIT: Inputs von opto
post2175852
Retail-Box:
Code:
ProductID:           Fritz_Box_HW213a
[COLOR=#0000FF]HWRevision;          213
HWSubRevision:       4[/COLOR]
bootloaderVersion    1.3085
firmware_info:       141.06.61
firmware_version:    avm
[COLOR=#0000FF]urlader-version:     4085[/COLOR]
 
Zuletzt bearbeitet:
@ Daniel Ventura
nein, ich meine die MAC ist noch nicht vergeben. bei KD.
Das Branding habe ich noch nicht eingestellt?

Edit:
Wenn ich das branding KD aktiviere, hängt sie im Bootloop.
quote SETENV firmware_version kdg
 
Zuletzt bearbeitet:
Thema Zertifikate und @opto:
Dann gab es wohl zu diesem Zeitpunkt schon "die Zäsur" bei der Behandlung der Zertifikate.

Bei meiner ersten 6490 sah das (am 26.12.2014 - die Box hing an einem KDG-Anschluß) jedenfalls noch so aus in der docsis_boot.log:
Code:
Thu Jan  1 01:01:09 1970 [INFO] [PACM.SECURITY(pid=1123)]: Reset certs, location: /nvram/2/certificates
Thu Jan  1 01:01:09 1970 [DEBUG] [PACM.SECURITY(pid=1123)]: dir /nvram/2 exists
Thu Jan  1 01:01:09 1970 [DEBUG] [PACM.SECURITY(pid=1123)]: dir /nvram/2/certificates exists
Thu Jan  1 01:01:09 1970 [INFO] [PACM.SECURITY(pid=1123)]: Get default certs
Thu Jan  1 01:01:09 1970 [DEBUG] [PACM.SECURITY(pid=1123)]: GetDefaultCertsFromFS
Thu Jan  1 01:01:09 1970 [DEBUG] [PACM.SECURITY(pid=1123)]: Succeeded setting link /nvram/2/certificates/manuf.cer to [COLOR="#FF0000"]/etc/certs/mta/manuf_us_ca.cer[/COLOR]
Thu Jan  1 01:01:09 1970 [DEBUG] [PACM.SECURITY(pid=1123)]: Succeeded setting link /nvram/2/certificates/iptel_root.cer to /etc/certs/mta/[COLOR="#FF0000"]cablelabs_tst_service_provider_root.cer[/COLOR]
Thu Jan  1 01:01:09 1970 [INFO] [PACM.SECURITY(pid=1123)]: Default certs copied to nvram
Thu Jan  1 01:01:09 1970 [DEBUG] [PACM.SECURITY(pid=1123)]: Debug ret 0
Thu Jan  1 01:01:09 1970 [DEBUG] [PACM.SECURITY(pid=1123)]: Security_DbCertProdDataInit success
und hinter den Zertifikaten verbargen sich noch die folgenden Dateien:
Code:
[COLOR="#0000FF"][B]# openssl x509 -in manuf_us_ca.cer -inform der -text -noout[/B][/COLOR]
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            7f:52:e6:46:47:2f:ee:58:28:d7:11:f5:f1:ae:d2:a9
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=US, O=CableLabs, OU=PacketCable, CN=PacketCable Root Device Certificate Authority
        Validity
            Not Before: Feb 26 00:00:00 2002 GMT
            Not After : Feb 25 23:59:59 2022 GMT
        Subject: C=IL, O=Texas Instruments (Israel) Ltd., ST=HERZLIA, L=HERZLIA, OU=PacketCable, OU=HASADNAOT 8, HERZLIA, CN=TI CBC PacketCable CA
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:e3:8e:7d:b0:6b:17:06:d9:44:13:2e:87:5b:ef:
                    12:e3:b8:e5:96:b7:64:7a:3e:3e:26:10:d5:25:46:
                    88:43:79:15:19:ad:0d:24:fc:a3:15:e7:6a:88:bb:
                    46:91:06:6b:26:8f:b2:62:82:1c:cb:f7:65:1b:bd:
                    89:32:f3:2d:55:d9:13:85:05:9e:94:c4:a6:da:81:
                    85:b5:1b:b9:9f:82:13:9c:b1:64:6a:87:e0:70:84:
                    d6:a9:c0:3d:3e:17:09:a1:21:c9:50:3a:a8:b6:27:
                    74:aa:c0:41:c7:16:58:66:ac:5f:c4:a4:da:fa:4b:
                    03:23:81:82:91:0d:ce:95:ff:b5:c8:b9:7b:a6:f7:
                    b9:d5:5b:fe:4a:4b:0b:b0:39:21:f8:d3:03:12:d0:
                    ae:c2:3b:95:c4:77:91:f2:da:e1:c9:20:dc:5b:09:
                    3d:40:8c:06:ab:82:4c:c7:a9:fe:c6:1e:ba:21:43:
                    b1:eb:96:3c:15:bc:f4:0c:e5:c5:7a:a7:1e:17:69:
                    6a:5c:1a:73:02:dc:63:12:d8:82:57:a3:35:d5:af:
                    02:63:f1:54:f3:54:6d:29:82:d4:da:8d:81:3f:1a:
                    1b:28:c2:ab:f0:e0:e2:0e:84:05:0b:0e:23:e7:c6:
                    2a:27:67:2b:db:e1:92:aa:3f:27:b5:0f:93:27:b4:
                    33:a9
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                60:18:C6:E8:DD:11:3C:04:CC:6B:74:9E:19:4A:3F:FD:8F:EF:8A:89
            X509v3 Key Usage: critical
                Certificate Sign, CRL Sign
            X509v3 Basic Constraints: critical
                CA:TRUE, pathlen:0
            X509v3 Authority Key Identifier:
                keyid:91:94:20:7E:D5:71:B9:B0:00:61:49:51:BD:38:5C:6E:A6:ED:60:7C

    Signature Algorithm: sha1WithRSAEncryption
         88:28:ca:f5:97:b5:08:25:31:f8:fc:21:84:9a:ca:5a:0f:34:
         2e:25:0f:d6:05:4d:9d:b7:05:dc:99:a3:79:07:31:be:c9:38:
         55:a1:e0:57:39:1a:5f:3a:df:f3:22:6e:76:c0:e9:5b:12:4b:
         ee:f2:95:50:a1:0f:47:15:23:c6:c8:aa:71:ab:42:6a:c9:9a:
         6a:ed:ed:7b:9b:ec:a5:c9:33:f6:84:8b:9b:0a:7c:3d:ed:1b:
         51:94:be:f2:27:07:57:bf:3f:d7:ba:d6:44:11:53:58:5a:73:
         0f:f7:d7:58:a5:b0:f0:c1:f0:3b:ec:a5:c7:52:06:cf:81:49:
         fa:95:27:c7:de:d7:1f:c4:0d:5c:81:15:d2:09:41:e5:81:3d:
         8e:7c:95:1a:4d:a3:b1:c0:dc:96:b9:dd:bb:e5:17:96:31:16:
         85:3e:b0:68:0a:ae:dc:3e:5d:63:20:03:33:ae:49:d4:49:f7:
         b6:95:ff:4d:cc:57:5a:97:3b:e9:83:dd:53:a9:e8:9f:b7:06:
         ab:c7:93:ea:f9:0f:43:5c:b2:a1:7b:22:8f:fa:4b:65:f9:9d:
         68:e5:93:9c:9c:7b:08:84:f3:52:bd:d5:72:3b:67:e9:57:d6:
         b4:94:94:d1:7f:e4:16:a2:6b:44:a0:81:99:01:06:cb:b8:78:
         55:89:53:f6
[B][COLOR="#0000FF"]# openssl x509 -in cablelabs_tst_service_provider_root.cer -inform der -text -noout[/COLOR][/B]
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 2 (0x2)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=US, O=CableLabs, CN=CableLabs Service Provider Root CA
        Validity
            Not Before: Feb 18 19:26:29 2003 GMT
            Not After : Feb 18 19:26:29 2033 GMT
        Subject: C=US, O=CableLabs, CN=CableLabs Service Provider Root CA
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:a1:e3:51:b5:6c:46:82:7e:66:b8:5f:f2:f3:f2:
                    d7:56:2b:3c:2b:64:a4:ab:08:ce:3c:76:94:b6:cb:
                    84:a0:c7:2f:02:69:eb:ab:c9:e2:9a:e2:5a:bd:52:
                    fd:70:a9:8d:4e:f9:d6:f0:c6:cb:ca:78:4b:8f:e5:
                    9e:fe:23:d0:23:23:46:e2:3b:6e:e2:b1:30:98:38:
                    27:a9:13:ce:68:22:ea:17:ba:a8:ca:29:33:12:5b:
                    23:f5:6f:9f:51:60:0a:70:bc:42:6d:c6:d5:73:8b:
                    7a:81:2b:c3:74:57:38:79:61:bc:bb:90:29:fe:68:
                    d5:c2:04:4c:ff:8e:47:d9:99:36:28:5b:ba:5e:8f:
                    0b:83:96:6d:b4:e3:ef:0a:f5:34:51:37:66:0a:76:
                    c5:6a:13:42:02:fc:41:1f:00:f8:57:e9:7a:a1:ff:
                    fa:d3:53:b5:a2:23:15:ce:87:6e:41:a4:22:42:be:
                    09:31:5e:8b:2a:1e:97:15:a1:15:2a:1c:a6:e5:33:
                    b5:b1:29:db:9a:12:57:ea:da:66:35:fe:c9:d3:54:
                    75:8c:e7:f1:7b:b3:a5:69:6e:0f:07:96:b1:bb:d4:
                    c9:42:ea:03:5f:0b:d7:13:9f:33:c0:08:5f:d3:89:
                    64:18:8b:72:61:f9:78:cc:17:05:46:f5:c2:14:c3:
                    e0:fb
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Key Usage: critical
                Certificate Sign, CRL Sign
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Subject Key Identifier:
                6C:70:96:07:8B:70:24:AF:80:5F:E4:32:5D:3F:9A:29:F4:3C:7C:49
            X509v3 Subject Alternative Name:
                DirName:/CN=CABLELABS GENERATED TEST ROOT FOR EQUIPMENT TEST PURPOSES ONLY
    Signature Algorithm: sha1WithRSAEncryption
         78:63:8b:20:1b:b4:b8:95:1e:b8:81:ce:e6:ae:aa:65:af:c9:
         e8:23:b5:38:94:e4:59:a9:f4:c4:3f:c6:cc:f8:40:d8:6a:e1:
         45:15:25:cb:27:bb:80:38:16:c4:77:58:7f:28:95:c1:f3:5f:
         64:38:c6:be:53:39:b8:d3:3b:30:e4:2f:b4:3b:70:ce:d2:3b:
         7a:93:14:58:69:04:23:1c:ee:e6:e9:fe:0a:72:92:a7:6f:45:
         99:d6:de:7e:29:f8:bd:be:88:14:b9:47:9d:18:05:7d:6b:2b:
         c1:d8:74:29:56:79:4d:b2:04:ca:f4:72:35:bf:60:bf:47:d8:
         33:c2:b9:66:6a:bb:d2:f1:96:a5:21:a1:67:87:e2:c9:d6:f4:
         bd:58:b2:05:88:e0:66:50:b1:cf:a6:8b:e2:24:6f:28:4e:9a:
         5c:af:e6:f6:d2:89:51:a6:06:c2:76:77:64:fe:65:07:99:bb:
         87:66:a4:ca:b6:42:83:e0:df:3c:6d:52:33:48:57:ab:16:2b:
         ac:0d:34:89:94:0b:5d:89:bc:bf:13:97:9d:2c:03:69:ae:40:
         ff:28:62:8b:4f:b9:fe:b6:0e:60:34:46:b1:ea:2e:c3:10:99:
         e0:40:ac:70:43:5c:63:38:33:da:07:b1:ec:55:ed:5c:d9:d9:
         58:2e:5b:ae
und das, obwohl es in der Firmware durchaus auch andere Zertifikate (für EuroDOCSIS) gab:
Code:
[COLOR="#0000FF"][B]# cd etc/certs/mta;ls -la[/B][/COLOR]
total 32
drwxr-xr-x 2 peh  1000 4096 Jan 11  2016 ./
drwxr-xr-x 3 peh  1000 4096 Sep  4  2014 ../
-rwxrwxrwx 1 peh  1000  951 Sep  4  2014 cablelabs_tst_service_provider_root.cer*
-rwxrwxrwx 1 peh  1000 1063 Sep  4  2014 manuf_euro_ca.cer*
-rwxrwxrwx 1 peh  1000 1044 Sep  4  2014 manuf_us_ca.cer*
-rwxrwxrwx 1 peh  1000   13 Sep  4  2014 mtacertReplaceMe.cer*
-rwxrwxrwx 1 peh  1000   13 Sep  4  2014 mtakeyReplaceMe.bin*
-rwxrwxrwx 1 peh  1000  858 Sep  4  2014 tcomlabs_tst_service_provider_root.cer*
[COLOR="#0000FF"][B]# openssl x509 -in manuf_euro_ca.cer -inform der -text -noout
[/B][/COLOR]Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            64:38:7a:49:61:94:04:5e:89:2f:cd:6e:d5:35:f3:27
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=BE, O=tComLabs, OU=Euro-PacketCable, CN=Euro-PacketCable Root Device Certificate Authority
        Validity
            Not Before: Sep 16 00:00:00 2003 GMT
            Not After : Sep 15 23:59:59 2023 GMT
        Subject: C=IL, O=Texas Instruments (Israel) Ltd., ST=HERZLIA, L=HERZLIA, OU=Euro-PacketCable, OU=HASADNAOT 8, HERZLIA, CN=TI CBC Euro-PacketCable CA
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:e3:8e:7d:b0:6b:17:06:d9:44:13:2e:87:5b:ef:
                    12:e3:b8:e5:96:b7:64:7a:3e:3e:26:10:d5:25:46:
                    88:43:79:15:19:ad:0d:24:fc:a3:15:e7:6a:88:bb:
                    46:91:06:6b:26:8f:b2:62:82:1c:cb:f7:65:1b:bd:
                    89:32:f3:2d:55:d9:13:85:05:9e:94:c4:a6:da:81:
                    85:b5:1b:b9:9f:82:13:9c:b1:64:6a:87:e0:70:84:
                    d6:a9:c0:3d:3e:17:09:a1:21:c9:50:3a:a8:b6:27:
                    74:aa:c0:41:c7:16:58:66:ac:5f:c4:a4:da:fa:4b:
                    03:23:81:82:91:0d:ce:95:ff:b5:c8:b9:7b:a6:f7:
                    b9:d5:5b:fe:4a:4b:0b:b0:39:21:f8:d3:03:12:d0:
                    ae:c2:3b:95:c4:77:91:f2:da:e1:c9:20:dc:5b:09:
                    3d:40:8c:06:ab:82:4c:c7:a9:fe:c6:1e:ba:21:43:
                    b1:eb:96:3c:15:bc:f4:0c:e5:c5:7a:a7:1e:17:69:
                    6a:5c:1a:73:02:dc:63:12:d8:82:57:a3:35:d5:af:
                    02:63:f1:54:f3:54:6d:29:82:d4:da:8d:81:3f:1a:
                    1b:28:c2:ab:f0:e0:e2:0e:84:05:0b:0e:23:e7:c6:
                    2a:27:67:2b:db:e1:92:aa:3f:27:b5:0f:93:27:b4:
                    33:a9
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE, pathlen:0
            X509v3 Key Usage: critical
                Certificate Sign, CRL Sign
            X509v3 Subject Key Identifier:
                60:18:C6:E8:DD:11:3C:04:CC:6B:74:9E:19:4A:3F:FD:8F:EF:8A:89
            X509v3 Authority Key Identifier:
                keyid:DB:09:A1:10:52:7E:4E:AE:79:22:12:60:DF:90:F5:BF:2A:9E:64:80

    Signature Algorithm: sha1WithRSAEncryption
         39:10:c3:4c:33:41:9c:5b:60:3e:be:1f:ba:73:bf:57:e2:5d:
         e1:8f:13:71:41:02:ec:4f:09:49:5e:4d:97:78:a9:f9:cb:97:
         32:8c:5e:35:d0:e8:7f:0d:94:90:dc:30:b4:57:3f:65:68:10:
         c4:65:f6:bc:72:87:08:eb:d3:0e:c9:b9:a3:26:6d:17:2d:ef:
         2b:6d:64:92:d2:7d:a4:f1:2c:de:ad:d7:ba:fe:04:83:86:87:
         6a:75:57:de:b9:82:02:4e:58:e1:d7:7e:19:e4:19:1b:0a:f0:
         bb:b7:bb:93:5e:25:e5:8a:15:f7:b4:4b:53:d5:32:e0:d9:fa:
         9f:38:fc:7b:68:83:82:25:bb:73:63:8a:43:f1:a8:07:55:9b:
         55:c8:1d:ab:03:17:73:83:de:e6:26:4c:a4:f3:ee:09:6e:eb:
         7c:79:99:f8:f4:4a:c8:0b:fb:f1:4a:54:6e:05:5d:ae:5b:88:
         c0:e1:52:12:9a:68:45:3b:bb:ce:22:81:71:32:5e:cf:df:31:
         48:20:96:f2:2d:23:f6:66:a2:4e:d0:fd:f4:2b:1e:60:5a:bb:
         fe:f6:ac:a0:50:6f:21:81:bc:2c:71:00:35:91:bc:7d:6d:11:
         4d:1d:35:73:59:a7:33:b5:94:97:90:cd:52:94:f0:68:a5:9d:
         f4:c0:64:32
[COLOR="#0000FF"][B]# openssl x509 -in tcomlabs_tst_service_provider_root.cer -inform der -text -noout[/B][/COLOR]
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 15791 (0x3daf)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=BE, O=tComLabs, CN=tComLabs Service Provider Root CA
        Validity
            Not Before: Dec 31 23:00:00 2001 GMT
            Not After : Dec 31 23:00:00 2021 GMT
        Subject: C=BE, O=tComLabs, CN=tComLabs Service Provider Root CA
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:b4:03:94:de:93:cd:da:0b:8f:50:c3:c0:ec:64:
                    3d:ae:db:5a:ca:ed:36:e8:fc:ad:4d:74:0a:42:e8:
                    b0:63:4b:df:d2:9c:17:62:0f:48:f9:87:fc:3b:84:
                    3d:38:af:ae:ed:bf:b0:82:47:76:fe:67:fe:1b:88:
                    5e:fa:40:d1:25:3c:75:31:e7:27:01:1f:0a:13:50:
                    c6:58:1f:7f:0e:8f:a5:22:19:f6:1d:cd:93:80:2b:
                    76:4e:9b:a4:e9:f7:27:b9:a7:1c:f1:e7:f3:e5:83:
                    80:34:73:11:34:c9:ba:d7:e2:46:1b:50:7f:64:95:
                    73:32:7a:05:c9:4e:ef:73:fe:ac:c2:1e:37:7b:04:
                    61:ac:c9:d1:dd:3e:c2:da:16:f7:76:51:fd:74:22:
                    23:0b:31:8a:13:5b:5c:c0:83:c2:70:68:81:91:54:
                    6d:70:a8:d6:a4:29:99:58:a6:56:72:86:59:ce:74:
                    42:4e:ca:cf:87:5c:7a:a3:c4:3b:d1:db:c2:21:c0:
                    3a:08:f2:70:e7:ad:f2:98:d5:f1:1a:f4:18:b2:2d:
                    d3:44:29:24:5f:12:c2:a5:56:66:78:ea:6e:b7:d7:
                    76:8b:cb:ae:d0:85:83:96:d4:f8:55:33:d0:50:89:
                    c3:ae:17:54:f3:e0:c9:5f:5d:0b:b1:1f:29:c8:c8:
                    60:f9
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Certificate Sign, CRL Sign
            X509v3 Subject Key Identifier:
                A7:AC:76:51:8D:37:18:37:62:68:E4:B1:FD:E8:99:7B:B7:63:2E:1B
    Signature Algorithm: sha1WithRSAEncryption
         b2:fa:5e:b0:61:74:3a:cc:6f:6b:6f:6c:60:17:35:7a:2d:b2:
         8c:2e:ed:8c:92:e4:48:ca:57:a7:2e:07:16:d2:ef:28:e7:fe:
         bc:e6:74:7b:20:ac:9f:86:ea:9e:c9:cc:8c:fb:c2:b0:f5:f0:
         24:87:51:18:5d:cd:85:1f:a8:52:70:23:c0:90:d3:44:fc:5b:
         b4:d3:cb:78:57:67:74:b2:22:22:ea:af:0a:ab:13:35:30:12:
         e5:9b:a1:3d:36:86:eb:96:88:91:8c:b0:50:46:6e:13:84:bc:
         b2:10:52:d2:f3:8c:be:6b:b0:d3:4e:99:45:ae:8c:dd:71:10:
         dc:4e:cb:c9:44:ca:b0:c7:9f:7f:96:e3:96:da:20:2d:2d:6e:
         1a:42:e8:be:40:6a:60:2d:b1:7e:9b:af:00:ad:57:75:b6:34:
         46:a7:be:7d:8d:4a:da:95:7a:c2:fc:f9:ba:a4:16:f2:e3:41:
         96:5e:ac:0b:b1:af:dc:c1:09:ce:2f:dd:f5:64:96:9e:c3:27:
         15:1d:72:6a:10:70:d1:30:13:87:0d:5a:fa:49:af:8d:e0:06:
         27:fa:5d:32:5c:1e:95:d0:f4:2b:7f:c9:f7:27:99:ed:f2:9a:
         1c:2a:d4:dd:4e:4f:65:11:76:05:1d:9c:e2:d4:a0:c0:b2:77:
         d3:29:28:b6
Man sieht schon an den Daten in den Zertifikaten, daß diese eher älteren Datums sind/waren und daß dort zumindest noch keine Prüfung gegen AVM-eigene Zertifikate erfolgen konnte (es gab dort schlicht keine).

Es gibt auch keine weiteren Stellen im DOCSIS-Bootlog, wo irgendwann andere Zertifikate verwendet wurden (zumindest nicht lt. dieses Protokolls), da kann man m.E. mit hinreichender Wahrscheinlichkeit vermuten, daß die Box damals tatsächlich noch mit den Test-Zertifikaten von CableLabs im KDG-Netz gearbeitet hat. Die privaten Schlüssel für diese Test-Zertifikate müßte es irgendwo bei CableLabs gegeben haben, sicherlich nur für "berechtigte Interessenten" ... im Prinzip ist das (soweit ich weiß bzw. man das "von außen" erkennen kann) auch heute noch so, auch wenn die "neuen Testzertifikate" jetzt wohl von Excentis verwaltet werden.

Die im Listing zu sehenden Platzhalter mit dem "replace me" im Namen sind auch der Grund gewesen, warum ich ab und an mal die Vermutung geäußert habe, die KNB könnten unter Umständen die über CVC-Dateien verteilten Updates selbst signieren, wenn sie das wollten. Ob davon jemals Gebrauch gemacht wurde bzw. ob das die Firmware tatsächlich gegen alle dort liegenden Zertifikate getestet hat (diese eigenen sollten sicherlich nicht auch "mtacertReplaceMe.cer" heißen), weiß ich aber auch nicht sicher - das sind alles Vermutungen und das habe ich (hoffentlich) auch jeweils deutlich gemacht, wenn ich es irgendwo erwähnt habe.

In neuer Firmware (06.61) ist jedenfalls ein (älteres) AVM-eigenes CA-Zertifikat als /etc/docsis/security/euro_mfg_cert.cer hinterlegt:
Code:
[COLOR="#0000FF"][B]# openssl x509 -in euro_mfg_cert.cer -inform der -text -noout[/B][/COLOR]
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            18:d9:3d:04:72:8f:ce:2f:ba:a7:81:a8:1f:92:6a:43
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=BE, O=tComLabs - Euro-DOCSIS, OU=Cable Modems, CN=Euro-DOCSIS Cable Modem Root CA
        Validity
            Not Before: Jul 30 00:00:00 2009 GMT
            Not After : Jul 29 23:59:59 2029 GMT
        [COLOR="#008000"]Subject: C=DE, ST=Berlin, L=Berlin, O=AVM GmbH, OU=Euro-DOCSIS, OU=Germany, CN=AVM GmbH Cable Modem Root Certificate Authority[/COLOR]
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:97:91:e8:b9:3e:11:06:90:2f:9d:6e:97:43:c5:
                    97:49:ca:af:f1:84:1b:71:ef:1b:8f:ee:68:20:32:
                    79:a2:64:c6:61:8c:30:25:8d:a0:b3:c8:41:07:3e:
                    73:17:8a:39:39:87:f2:ee:9b:3c:f3:08:9d:2a:f7:
                    5a:ef:25:1b:40:97:3e:44:ee:cd:ad:a8:24:2a:d2:
                    b4:ff:cf:5f:60:8b:78:7f:a9:22:c2:dd:f7:90:ec:
                    97:f7:aa:2a:39:4f:a2:4b:74:ce:e5:69:8d:85:56:
                    04:d4:5f:2e:12:fb:72:e8:3c:2c:29:92:86:6e:1a:
                    b7:95:1d:8c:f5:e1:69:5d:52:e9:27:cf:eb:5b:49:
                    24:6f:b2:4e:fa:25:40:c7:91:b1:84:ff:da:0f:b4:
                    49:03:79:55:c9:b2:4f:f8:a7:9a:2e:00:45:3f:b4:
                    c5:e5:8a:34:93:ff:de:df:c8:18:90:50:e6:20:b5:
                    22:70:78:bd:06:f2:4d:2f:94:65:ea:16:36:92:b8:
                    01:db:92:dc:80:89:9a:ce:83:01:11:9e:28:eb:0c:
                    9c:6f:fe:46:25:fe:8c:09:a4:27:fe:51:12:42:d9:
                    11:38:72:37:36:d7:78:62:0a:1d:03:97:68:a4:51:
                    cb:49:78:96:f4:40:31:7f:7c:0d:d5:14:f4:6e:3f:
                    5f:61
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE, pathlen:0
            X509v3 Key Usage: critical
                Certificate Sign, CRL Sign
            [COLOR="#FF0000"]X509v3 Subject Key Identifier:
                85:F4:97:A4:C2:05:EB:4F:10:38:16:B4:AD:55:0B:4D:00:17:84:F0[/COLOR]
    Signature Algorithm: sha1WithRSAEncryption
         23:79:27:15:b2:33:f7:42:4d:11:8a:ad:89:68:4f:01:c8:d6:
         67:9a:65:99:5e:c7:25:e4:71:62:21:21:a5:af:86:8e:c6:47:
         54:2e:df:ed:6c:c5:fb:16:23:76:07:93:19:e6:c0:a2:42:ce:
         09:6a:8f:4e:a1:ea:f6:b6:fa:f9:a0:62:3d:f9:01:e5:06:7a:
         bc:93:05:29:3a:8a:33:49:45:3e:bd:33:16:e6:c8:81:0c:d8:
         71:56:d2:5f:77:a3:20:28:cf:59:89:82:5e:c4:99:f7:15:28:
         d5:39:71:ca:7d:c5:b9:e0:1f:8b:9c:45:fd:71:27:1d:77:4a:
         44:b0:dd:d3:04:e8:51:69:ec:f1:41:de:0c:55:4a:eb:d8:72:
         ee:d7:e0:b1:c3:b1:d2:56:4c:db:20:bb:c7:2f:d2:6f:2e:b3:
         c6:c6:02:66:ac:44:0c:1d:34:d3:89:4d:4d:d7:1c:c9:8c:1f:
         47:73:51:97:cc:22:aa:19:e9:a3:99:1c:fe:c8:17:4d:56:f6:
         41:2d:58:0e:22:11:d5:d5:0a:3d:ca:6d:f8:ed:3f:db:db:bd:
         1e:47:34:c4:a6:50:b4:48:9b:f1:71:0b:4a:c0:3b:81:68:4e:
         db:b2:04:1a:11:62:a9:37:dc:05:e6:df:36:54:b3:2e:d2:71:
         a8:4a:db:19
und das stimmt auch nicht mit dem Zertifikat überein, mit dem die CM-Zertifikate signiert werden (in einer "2000 2657"):
Code:
# openssl x509 -in mfg_cert.cer -text -noout -inform der
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            16:44:e7:85:bf:c6:03:f4:c4:fc:8e:d8:51:92:c5:ce
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=BE, O=tComLabs - Euro-DOCSIS, OU=Cable Modems, CN=Euro-DOCSIS Cable Modem Root CA
        Validity
            Not Before: Mar 13 00:00:00 2015 GMT
            Not After : Mar 12 23:59:59 2035 GMT
        Subject: C=DE, ST=Berlin, L=Berlin, O=AVM GmbH Berlin, OU=Euro-DOCSIS, OU=Germany, CN=AVM GmbH Berlin Cable Modem Root Certificate Authority
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:f9:03:9b:f2:6a:6f:03:7f:5d:a5:10:33:4e:b7:
                    4b:ec:52:39:d3:ef:31:af:e3:db:53:6d:fe:ed:33:
                    23:d7:8a:35:bc:d9:be:c1:ad:4f:5d:fd:0c:50:8e:
                    8a:3a:8b:fa:7f:d0:fc:18:15:be:90:8e:7f:7f:ef:
                    f1:6d:7f:fa:24:53:fb:71:90:81:18:60:db:70:ef:
                    d0:19:b1:8e:de:60:a2:53:04:fe:dd:62:fa:57:49:
                    39:82:fc:d8:81:76:7d:4c:1a:9e:8d:86:d5:94:e4:
                    2a:c5:8b:2d:a8:eb:df:76:8a:22:c7:76:07:35:41:
                    0b:a1:de:80:fb:3a:e6:02:19:49:59:16:e1:03:a7:
                    71:84:c1:7b:20:48:66:b9:bf:3a:d6:e3:92:e3:0a:
                    ed:8f:73:51:77:2f:18:b7:f7:2d:78:b8:12:ed:8d:
                    84:2c:0a:7b:84:f8:68:ff:ef:38:d3:79:66:28:32:
                    13:0f:20:93:dc:46:c5:10:1b:dd:f1:0d:60:4b:a8:
                    19:4f:34:c4:12:b5:11:d2:dc:f6:36:52:11:1c:d7:
                    93:11:ea:cb:23:92:c6:a0:4b:d3:1e:70:6a:36:c0:
                    9f:0c:d0:c0:24:f1:62:7a:ea:af:48:3b:87:2d:42:
                    a1:6f:3b:07:32:44:47:29:45:7d:73:65:b9:47:90:
                    0f:a7
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE, pathlen:0
            X509v3 Key Usage: critical
                Certificate Sign, CRL Sign
            X509v3 Subject Key Identifier:
                18:60:9C:43:B2:F2:5B:A2:3A:AD:98:C4:E6:E7:C9:7F:C0:B0:11:FC
    Signature Algorithm: sha1WithRSAEncryption
         19:e6:69:94:db:50:90:3e:f3:72:81:0a:ad:fc:48:0e:a1:d3:
         f8:2f:f3:2b:b3:14:9f:0a:84:7a:03:58:92:e1:01:3f:93:46:
         16:fc:ea:5a:96:47:c7:5b:50:8e:dd:1a:cc:48:74:ec:89:9f:
         ba:eb:ed:98:b2:0c:8b:a1:93:47:0f:fd:0e:ad:e8:fc:15:c9:
         a5:0e:21:0b:95:f1:d8:a1:15:77:7d:d6:d1:81:2a:e6:3f:e3:
         49:ac:41:fe:0f:ec:fc:15:53:47:10:19:be:d9:ff:50:b1:d4:
         9c:8e:1e:d8:4b:06:0e:d5:4a:c0:ba:66:10:a9:48:cf:2f:3f:
         3d:d9:4d:2a:2b:3c:86:01:fc:db:93:17:59:99:1c:2d:85:cc:
         22:38:d7:20:2e:17:30:07:4a:04:b4:28:50:80:a4:1a:38:20:
         e3:71:50:d0:01:20:4d:93:0a:8c:b3:b7:62:02:9e:45:09:d3:
         65:dc:b6:3c:40:af:bb:4f:80:0c:db:b2:bd:05:e0:c0:39:0d:
         89:2b:55:15:59:63:13:af:46:23:9b:02:1a:ad:25:1f:06:6c:
         77:b5:52:bd:5b:e2:1a:47:84:08:34:6f:50:6d:35:c2:f2:e8:
         10:64:eb:fa:a3:9d:da:b6:27:24:c8:95:0e:81:3c:9a:df:e6:
         dd:5b:c3:66
Daher kam ich irgendwie auf den Trichter, es könnte zwei unterschiedliche Hersteller-Zertifikate für die abweichenden Artikelnummern geben.

Aber dann hat AVM wohl irgendwann nach dem 15.03.2015 (da wurde das letzte Zertifikat ja gültig) schon mit der Produktion von Boxen mit "richtigen Zertifikaten" begonnen und nicht erst in der Vorbereitung von Boxen für den Einzelhandel.

Wenn tatsächlich auch Boxen mit einem Herstellungsdatum in diesem Jahr (sagen wir mal seit Juni 2016) ein Zertifikat haben sollten, das um den 15./16.10.2015 erzeugt wurde (wenn man "gültig ab sofort" bei der Erstellung unterstellen will), dann war das wohl doch ein "Batchlauf", bei dem viele viele Zertifikate "auf Halde" produziert wurden (es wird ja die MAC-Adresse "zertifiziert" als CN) und nun vermutlich irgendwo in einer Datenbank (hoffentlich in einer stark gesicherten) herumliegen.

- - - Aktualisiert - - -

Die erste Box (Weihnachten 2014) war auch "HWSubRevision 3" mit Bootloader 1.2099 - neuere hatten dann "HWSubRevision 4" und unterschiedliche Bootloader-Revisionen.

- - - Aktualisiert - - -

Das "MTA" steht ja normalerweise für "multimedia terminal adapter" (und sicherlich auch das "mta" oben im Pfad bei alter Firmware), bei einem Gerät wie der 6490 würde ich aber davon ausgehen, daß der Abschnitt "Secure software download" im RFC 4682 für das komplette Gerät gilt (hier handelt es sich ja um ein "embedded MTA" - E-MTA):
RFC 4682 schrieb:
Although E-MTAs have their software upgraded by the Cable Modem according to the DOCSIS requirements, S-MTAs implement a specific mechanism for Secure Software Download. This provides a means to verify the code upgrade using Code Verification Certificates and is modeled after the DOCSIS mechanism implemented in Cable Modems.
Nun könnte es natürlich auch noch sein, daß für das (besser wäre wohl "den") MTA da tatsächlich auch andere Zertifikate zum Einsatz kommen als für den "DOCSIS"-Teil der Box - dann wären die oben stehenden Unterschiede in den Zertifikaten auch erklärlich, aber warum sollte es sich hier um Zertifikate für Software-Updates handeln? Zumal auch die Daten der älteren (EuroDOCSIS- und EuroPacketCable-)Zertifikate nicht mit denen übereinstimmen, die man heute auf der Excentis-Webseite als Root-CA findet.
 
@ Daniel Ventura
nein, ich meine die MAC ist noch nicht vergeben. bei KD.
Das Branding habe ich noch nicht eingestellt?

Edit:
Wenn ich das branding KD aktiviere, hängt sie im Bootloop.
quote SETENV firmware_version kdg

Bei dieser Firmware ist KD branding nicht drauf nur AVM und lgi
Wechsle auf lgi dan wird es gehen zumindest bei Frequenz suchen
 
Wenn ich auf avm lassen> Die Frequenz findet er, es kommt die Meldung : Übertragung der Paramater und Reg. bei der CMTS. Und da gehts nicht mehr weiter.

auth reject - permanent authorization failure
 
Ich habe eine Box von Kabel Deutschland, mit Firmware 6.31, bei dieser ist scheinbar ausschließlich das KDG Branding vorhanden.
Wenn ich auf AVM umstelle, hängt die Box im Bootloop.

Die Methode zum telnet freischalten von fesc scheint bei Firmware 6.31 auch nicht mehr zu funktionieren, nach dem hochladen kommt keine Fehlermeldung oder irgendwas, sondern einfach nur die Startseite der Box.

Weiß jemand ob es hier irgendeine andere Möglichkeit gibt, die Firmware zu updaten, über adam2 oder so?
 
@yago

Schau mal, ob beim ruKernelTool im Reiter "tools" der Punkt "telnetd" grün angezeigt wird
 
Leider nicht...
Hab es auch über cmd mit telnet 192.168.178.1 probiert, ist nicht aktiv.

Und eigentlich müsste ja nach dem Upload noch diese Bestätigungsseite kommen.

Über die dev Tools kann ich auch sehen, dass ein post request an http://192.168.178.1/cgi-bin/firmwarecfg mit den richtigen Werten durchgeführt wird, allerdings erfolgt dann einfach eine Weiterleitung an /index.lua

Geht mit der 6.31 wohl wirklich nicht.
 
Wenn ich auf avm lassen> Die Frequenz findet er, es kommt die Meldung : Übertragung der Paramater und Reg. bei der CMTS. Und da gehts nicht mehr weiter.

auth reject - permanent authorization failure

Das ist eindeutig das falsche Zertifikat. So gut wie alle KNB haben das alte gesperrt mittlerweile.
Ohne ein Update von AVM oder über einen KNB der fremde Boxen updatet mit dem Zertifikat hast du schlechte Karten, selbst wenn ein Update auf die 6.50 gelingt.
 
Das ist eindeutig das falsche Zertifikat. So gut wie alle KNB haben das alte gesperrt mittlerweile.
Ohne ein Update von AVM oder über einen KNB der fremde Boxen updatet mit dem Zertifikat hast du schlechte Karten, selbst wenn ein Update auf die 6.50 gelingt.

Okay vielen Dank. Sehr schade sowas. Neuer Briefbeschwerer!
 
Hallo,
habe durch Hilfe von diesem Forum es geschafft meine 6490 dieses WE von 6.24 auf 6.50 upzudaten.
Als erstes vielen Dank für die nützlichen Infos.

Nun seit heute MIttag ist die Internetverbindung weg und genau wie bei[SIZE=2pt] ASWO[/SIZE] bringt die Box den Fehler:
auth reject - permanent authorization failure

Kann es sein dass Primacom erst heute die Überprüfung scharf geschaltet hat?

Eigentlich hat die ja schon während des updates gemeckert und das install Skript nicht bis zum Ende abgearbeitet:

/var/docsiscertdefaults: Kein CM Zertifikat im Urlader
dl complete but fp still open. (written 0 / 0)
dl complete but fp still open. (written 0 / 0)

hab aber selbst linux_fs_start umgestellt und siehe da 6.50 lief und funktionierte bis heute eben :-(
 
Mein bisheriger Leidesnweg:

6490 mit KD Branding und Firmware 6.26 am 31.07. Abends angeschlossen: Bis auf Telefonie funktioniert Internet
Debrandet auf AVM; da Telefonie nicht ging, wieder auf KD-Modem umgestiegen
Um den 4./5.08.: erneuter Anschluss - jetzt geht Internet nicht mehr, ich komme nur noch bis zur KD "Router aktivieren" Seite - danach die Meldung, dass der Service nicht zur Verfügung steht.

6490 mit Telnet bestückt und Firmware 6.50 mit Telnet aufgespielt, IPv6 manuell aktiviert:

Code:
15.08.16 20:47:53 DHCP RENEW WARNING - Field invalid in response v4 option
15.08.16 20:37:59 Auth Reject - Permanent Authorization Failure
15.08.16 20:37:53 MIMO Event MIMO: Stored MIMO=-1 post cfg file MIMO=-1
01.01.70 01:07:47 Primary lease failed, IPv4 fallback initiated
01.01.70 01:07:47 DHCP FAILED - Critical field invalid in response
01.01.70 01:07:37 No Ranging Response received - T3 time-out

Keine Verbindung, weder IPv4 noch IPv6
Kein Zugang mehr zur KD "Router aktivieren" Seite
 
Das Update wird bei 90% aller KNB nicht reichen, das Zertifikat brauch ein Update.
auth reject - permanent authorization failure bedeutet die CMTS meldet ein reject(pk)

PS: Bis heute? Primacom Kunde?
 
Ja wie geschrieben am WE das update gemacht und lief bis heute Nachmittag seither ist keine Internetverbindung.
Und ja Primacom(Berlin).
 
Jup seit heute geht das nicht mehr, habe da schon mehrere Meldungen gelesen
 
Zuletzt bearbeitet:
Hast du das gleiche Problem auch Primacom-Kunde?
Bzw. woher weißt du das?
 
Und sry das ein AVM Problem, auch bei KDG / Vodafone, Telecolumbus weiß ich das es genauso ist. UM ka die hängen ja bissl hinterher mit der Firmware der eigenen Boxen
 
Zuletzt bearbeitet:
Ein AVM-Problem, dass die Provider alte Zertifikate sperren, interessant...
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,046
Beiträge
2,244,990
Mitglieder
373,451
Neuestes Mitglied
Ayzham
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.