(CMD42) ein Befehl zum Karten-Update RNS310/RNS315 (AMUNDSEN+)

**jori** · 29.12.2017, 02:35

'cmd42' ist ein linux-befehl zum versiegeln/sperren(locken) von sd-karten. der name steht in anlehnung an die 'Card Lock/Unlock Operation' aus der SD Spezifikation Teil 1 (Physical Layer Simplified Specification Version 2.00) vom 25. September 2006 und die dafür vorgesehene kommando-sequenz (CMD42).

das versiegeln/sperren(locken) von sd-karten ist für die meisten anwender ein relativ unbekanntes sicherheits-feature. obwohl schon seit mehr als 10 jahren in der offiziellen sd-spezifikation implementiert, wird es nur von den wenigsten anwendungen und eher selten eingesetzt. mit dieser option ist es möglich daten auf sd-karten vor unberechtigten zugriffen zu sichern. durch den einsatz eines max. 16 byte langen passwortes lässt sich eine sd-karte versiegeln. die darauf enthaltenen daten können dann nur noch von jemanden ausgelesen werden der das passwort kennt und sie mit 'cmd42' wieder entsperrt.

für den unerfahrenen anwender erscheint eine solche sd-karte auf den ersten blick als defekt und nur noch für den mülleimer geeignet, denn auf versiegelte sd-karten hat jedes system, sowohl windows als auch linux etc... nur noch eingeschränkten zugriff. ein normales auslesen beziehungsweise speichern von daten ist auf solchen karten nicht mehr möglich.die firmware einer gesperrten sd-karte blockiert jeden schreib.- und lesevorgang. daher werden solche karten, wenn man sie in den sd-schacht steckt, auch nicht mehr als datenträger ausgewiesen. die versiegelung wird nur aufgehoben, wenn zuvor ein 'unlock'-befehl (cmd42) mit dem dazugehörigen passwort an die sd-karte gesendet wird. die freigabe der darauf enthaltenen daten bleibt dann bestehen bis man die karte wieder aus dem schacht entfernt. nach einem erneuerten einlegen (PowerUp-Cycle) müssen solchen karten wiederum freigeschaltet werden. die sperrung einer sd-karte bleibt solange erhalten, bis das passwort auf der karte gelöscht wird. erst dann lassen sich die daten auf der karte auch wieder ganz normal auslesen/speichern. für den fall das ein passwort nicht mehr zugänglich ist oder vergessen wurde gibt es noch eine möglichkeit um eine karte wieder frei nutzbar zu machen. die sd association hat dafür die sogenannte 'force-erase' option zur verfügung gestellt. mit dieser option wird das passwort von der sd-karte entfernt und sämtliche daten auf der karte gelöscht. anschliessend ist die sd-karte zwar wieder frei verfügbar. sie muss aber noch einmal neu formatiert werden da bei diesem vorgang auch das ursprüngliche format aus sicherheitsgründen zerstört wurde. SD eben (Secure Digital).

ACHTUNG! der befehl 'cmd42' ist zur zeit nur bedingt einsatzfähig. benötigt wird ein sd-kartenleser der an einem echten pci-port angeschlossen ist und ein gepatchtes linux-kernel das auf versiegelte (gelockte) sd-karten zugreifen kann. die weit verbreiteten regulären linux-betriebssysteme wie ubuntu, suse, linux-mint und deren derivate etc... unterstützen keine gelockten sd-karten.

eine von mir erstellte custom-variante (Simply@Clever) enthält ein solches kernel und auch den befehl 'cmd42' in der version 0.8. siehe: (Simply@Clever) ein Linux Live-System zum Karten-Update RNS310/RNS315 (AMUNDSEN+)

das template für den befehl 'cmd42' sieht folgendermassen aus:

Code:




(SD-Card cmd42 beta 0.8) 24.05.2020 16:57:56 **************

usage: cmd42 [<password> <asc|hex>] <s|c|l|u|e> <device>

     s = set password
     c = clear password
     l = lock
    sl = set password and lock
     u = unlock
     e = force erase

***********************************************************

's' - setzen eines max. 16 byte langen passwortes um eine sd-karte zu versiegeln/sperren(locken). die zusätzliche angabe von 'asc' oder 'hex' entscheidet darüber ob das passwort in text-form oder binär-form (hexdezimal) an eine sd-karte gesendet wird. mit dem senden des passwortes wird eine sd-karte nicht sofort versiegelt. die sperrung der sd-karte tritt erst mit dem nächsten powerup-cycle in kraft. z.bsp. dann wenn die sd-karte kurz aus dem kartenleser entfernt wird und gleich wieder einlegt.

'c' - löschen eines passwortes um die versiegelung/sperrung einer sd-karte wieder aufzuheben. wenn die versiegelung einer sd-karte nicht schon durch einen temporären unlock aufgehoben wurde, bleibt die versiegelung/sperrung noch bis zum nächsten powerup-cycle erhalten.

'l' - die versiegelung/sperrung(lock) einer sd-karte aktivieren. voraussetzung dafür ist, das für diese sd-karte schon ein passwort vergeben wurde. (siehe 's' - setzen eines passwortes)

'sl' - setzen eines max. 16 byte langen passwortes inklusive der sperrung(lock) einer sd-karte. die versiegelung der sd-karte wird nicht erst mit dem nächsten powerup-cycle aktiviert sondern sofort umgesetzt.

'u' - die sperrung einer sd-karte temporär aussetzen. das passwort auf der sd-karte bleibt bestehen und wird nicht gelöscht. die freischaltung bleibt nur bis zum nächsten powerup-cycle erhalten. sie kann aber auch mit der option 'l' vorzeitig wieder zurückgenommen werden.

'e' - löschen einer sd-karte. das sogenannte zwangslöschen (Force Erase) entfernt das passwort und löscht sämtliche daten die auf einer sd-karte gespeichert waren/sind. zusätzlich wird auch noch das logische format der sd-karte zerstört. sie muss danach neu formatiert werden um sie wieder verwenden zu können.

'cmd42' benötigt selbstverständlich root-rechte. also vorher in den root-modus wechseln, sonst werden die übergabeparameter vom system nicht akzeptiert.

nachfolgend ein paar beispiele um die art der übergabe zu verdeutlichen.

zuvor noch ein hinweis für anwender, die mit dem linux-betriebssystem nicht so viel erfahrung haben. wer unter linux system-relevante daten verändern möchte, muss dem programm/befehl, das veränderungen am system vornehmen soll, 'rootrechte' zur verfügung stellen. dafür wird in der regel der system-befehl 'sudo' verwendet. dieser befehl wird dem eigentlichen programm/befehl vorangestellt um dessen ausführung im rootmodus zu ermöglichen.

und noch eine anmerkung zu "./" (punkt slash). für programme/befehle, die schon in den jeweiligen system-ordnern liegen und nicht nachträglich vom anwender selbst irgendwo hinkopiert wurden, ist das voranstellen von punkt und slash (sudo ./cmd42....) nicht nötig. "./" steht für das verzeichnis auf das ein geöffnetes terminalfenster aktuell gerade zeigt. ist dieser ordner nicht im systempfad ($PATH) eingebunden, muss punkt slash (./) zwingend angegeben werden, wenn man ein programm/befehl aus diesem verzeichnis starten möchte.

setzen eines passwortes um eine karte zu versiegeln(locken)
sudo cmd42 30313233343536373839616263646566 hex s /dev/mmcblk0

löschen eines passwortes um die sperrung einer karte wieder aufzuheben
sudo cmd42 0123456789abcdef asc c /dev/mmcblk0

für beide befehlszeilen gilt, das sie das gleiche passwort an die sd-karte senden. im ersten fall in binär-form (hex). im zweiten fall in text-form (asc).

natürlich geht auch folgende variante um eine sd-karte temporär freischalten
sudo cmd42 C99A20843ED7D90B6801E49F2BC80277 hex u /dev/mmcblk0

in diesem fall lässt sich das passwort aber nicht in text-form darstellen da ein grossteil der charakter ausserhalb des wertebereichs für darstellbare zeichen liegt.

wer mit 'cmd42' ein 'force erase' erzwingen will muss aufgrund meiner faulheit zur zeit noch ein beliebiges [<passwort> + <asc|hex>] mit angeben.

sudo cmd42 70617373776f7274 hex e /dev/mmcblk0 ; eine sd-karte mit einer beliebigen passwort übergabe in binär-form zwangslöschen
sudo cmd42 passwort asc e /dev/mmcblk0 ; das gleiche nur in text-form
sudo cmd42 "" asc e /dev/mmcblk0 ; oder mit einem leeren passwort - auch das funkioniert

vielleicht passe ich das in einer späteren version noch an. jetzt will ich aber erstmal schauen ob meine graue theorie der umsetzung in die praxis überhaupt gerecht wird. denn ich selbst konnte 'cmd42' noch nicht wirklich testen. mit einer ersten ur-version, die nicht wirklich etwas gemeinsames mit der zur zeit aktuellen variante hat, konnte ich ein passwort setzen und damit eine sd-karte versiegeln (locken). aufgrund eines mangels an funktionierenden sd-karten und diesem pseudo pci-port in meinem notebook der mir nicht wirklich viel spielraum gibt, sind meine möglichkeiten da leider begrenzt. auf meinem notebook funktioniert weder das 'force erase' noch das 'unlock'. es ist also möglich, das der befehl 'cmd42' zur zeit noch nicht wirklich kann was er eigentlich können sollte. für die vorgänger version 'cmd42-beta-v0.3' weiss ich inzwischen anhand einiger rückmeldungen, das die 'force erase' option als auch das unlocken von sd-karten auf anderen notebooks schon funktioniert hat. ein interessantes beispiel dazu findet ihr hier in den beiträgen #56 - #71 (Simply@Clever) ein Linux Live-System zum Karten-Update RNS310/RNS315 (AMUNDSEN+)

wer rückmeldungen zu meinem feld-versuch 'cmd42' geben kann, möchte das bitte hier im forum machen - idealerweise hier in diesem thema, Danke!

da das thema (Karte sperren / CID auslesen / CID ändern etc.) inzwischen relativ komplex geworden ist und sich in meinem fall nun auch schon über drei von mir erstellte beiträge erstreckt. empfehle ich auch in dem folgenden thema zu lesen: (SD-Info) ein Tool zum Karten-Update RNS310/RNS315 (AMUNDSEN+)

cmd42 Update-Info

$VER: SD-Card_cmd42 0.5 30.12.2017 03:27:15
debugging output erweitert und die ausgabe an 'sdinfo' angepasst.

$VER: SD-Card_cmd42 0.6 28.01.2018 03:56:51
fehlerhafte debugging ausgabe korrigiert

$VER: SD-Card_cmd42 0.8 29.03.2020 05:46:26
karten-status abfrage entfernt, debugging output erweitert und nochmals korrigiert,
hex-passwort NULL-BYTE break (bug) entfernt, konsistenzcheck für hex-passwort integriert.

Code:



hier ein beispiel für die ausgabe von 'cmd42' mit einem fehlerhaften hex-passwort 
als argument. abgefangen werden auch passwörter mit einer ungeraden anzahl von 
zeichen oder dessen länge max. 32 zeichen überschreitet. bei einem asc-passwort 
ist die länge auf max. 16 zeichen beschränkt. 


$ ./cmd42_64bit 203f405g1e2a30ef hex e /dev/mmcblk0

(SD-Card cmd42 beta 0.8) 29.03.2020 00:30:26 **************

    password = 203f405g1e2a30ef length = 16

INVALID PARAMETER at POS:8 (char. should be a hex-value!)

***********************************************************


zur info noch die md5 checksummen für alle dateien, die das cmd42_archiv betreffen.

$ md5sum *

21243cd06144d04f8b306481ab7133bb  cmd42_08.7z

7ce89aeb04c44b4a91b2e1a6f40cab68  cmd42_32bit
7e0302a96c4b9ee344049824f7fe36bb  cmd42_32bit_pie
b17740b3094f3b3975c6a550086cbf56  cmd42_64bit
39e8312ffaa0d9b01eb3d4ac4d308700  cmd42_64bit_pie

um die checksumme einer dieser dateien zu überprüfen, folgendes im terminal eingeben:

md5sum /path/to/cmd42_32bit [ENTER]

oder, wenn man sich mit dem terminal schon im gleichen ordner befindet:

md5sum cmd42_64bit_pie [ENTER]

der download erfolgt über einen privaten cloud-account. um einen überblick über die transfer-quote zu behalten und das ganze ein wenig kontrolliert zu steuern, sind die informationen zum download/passwort für das archiv bitte per PN einzuholen. dabei sind höfliche und respektvolle anfragen mit aussagekräftigen titel in bezug auf (CMD42) in der betreff-zeile gern gesehen. alles andere wird NICHT NUR aus logistischen / technischen gründen gefiltert und verworfen.

wer zusätzlich auch den link und das passwort zu (Simply@Clever) und/oder (SD-Info) anfordern möchte? macht das bitte aus logistischen gründen auch jeweils einzeln und gesondert per PN, danke!

mfg jori...