PS5 可拆卸光驱（DDD）配对 —— 研究结果

xlj44400

PS5 可拆卸光驱（DDD）配对 —— 研究结果
============================================================
日期：2026-06-03
测试的固件版本：12.00

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

配对状态值
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

通过 sceSblDddGetPairingStatus() 获取 —— SBL 内核调用。

0 = PAIRED（已配对）
1 = PAIRED_TO_ANOTHER（已与其他设备配对）
2 = NOT_PAIRED（未配对）
3 = REGISTER_INCOMPLETE（注册未完成）
4 = DELETE_INCOMPLETE（删除未完成）
5 = FACTORY_PAIRED（出厂已配对） ← 我们主机的状态
6 = FACTORY_PAIRED_TO_ANOTHER（出厂已与其他设备配对）

来源：ddd_pair_dump/main.c（来自 Drive_D），ioctl 代码：
DDD_GET_NONCE = 0xC0284401
DDD_GEN_REGISTER = 0xC0284402
DDD_CHECK_REGISTER = 0xC0284403
DDD_GET_STATUS = 0xC0284406

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

FACTORY_PAIRED（5）的含义
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

该光驱是在索尼工厂使用其工厂根信任密钥进行配对的。配对凭证存储在两个地方：

光驱端：光驱的安全元件（防篡改 IC）

主机端：/dev/iccnvs2（ICC NVS —— 位于主机 ICC 芯片内部的非易失性存储）

工厂配对密钥是在工厂使用 mose_diag.elf 通过 sceSblDriveAuthSetPairingResData() 生成并写入的，该过程需要 /dev/manuauth（制造认证设备）。零售主机上没有该设备节点 —— 仅存在于工厂/维修产线。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

能否将 FACTORY_PAIRED 转换为 MANUAL PAIRED（手动配对）？
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

不能。在零售主机上不可能做到。

在常规（越狱后可访问的）SBL API 中，唯一的写入路径是：
sceSblDddCheckPairingRegisterResponse()

该函数需要一个由索尼服务器（PSN）签名的有效响应 blob。索尼的配对服务器不对外公开访问，并且需要为你的特定主机 + 光驱签署一个注册挑战。目前没有已知的方法可以伪造或重放此过程。

mose_diag.elf 有 SetPairingKeyData 功能可以写入工厂配对数据，但它需要 /dev/manuauth，该设备节点仅存在于制造模式下。零售 PS5 没有这个设备节点。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

备份 / 恢复的可行性
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

光驱证书转储（在越狱后可行）：
ddd_cert_dump.elf —— 通过 /dev/ddd 转储光驱的证书。
此为只读操作，运行安全。保存了光驱身份 blob，但不包含配对密钥本身（配对密钥位于安全元件内，无法导出）。

能否使用 ddd_pair_dump.elf 备份和恢复配对？
不能。原因如下：

ddd_pair_dump.elf 通过 /dev/ddd 配对通道的 ioctl 进行操作。
它可以读取配对状态、生成注册随机数/请求、以及转储光驱的公钥证书。但无法提取实际的配对密钥/秘密材料，因为：

光驱端：共享秘密位于光驱的安全元件内部，不会通过任何 ioctl 导出。你只能获得公钥证书，而不是密钥。

主机端：ICC NVS（/dev/iccnvs2）中存储的配对密钥完全无法通过 /dev/ddd 的 ioctl 访问。这是一个独立的 ICC 层接口，在越狱后的用户态下没有暴露任何读取路径。

即使你同时拥有这两份转储，常规 API 中也不存在写回路径。DDD_CHECK_REGISTER（唯一的写入 ioctl）需要一个新鲜的、由索尼签名的响应，并且该响应必须与同一会话中生成的新鲜随机数绑定。捕获的 blob 无法重放 —— 随机数在设计中是单次使用的。

ddd_pair_dump.elf 的输出仅用于诊断。它确认了配对所处的状态，但不存在往返写入的能力。

主机端 NVS 备份：
/dev/iccnvs2 存储着主机的配对数据副本。
在内核上下文中可以通过 ioctl 直接读取，但常规越狱工具没有提供干净的 NVS 转储工具。
mose_diag.elf 有 GetPairingKeyData 功能，但同样需要 /dev/manuauth。

风险评估：

ICC NVS 在恢复出厂设置和固件更新后仍然保留（它在 ICC 芯片上，不在用户存储中）。

正常使用主机不会丢失配对数据。

日常使用中配对数据丢失的风险非常低。

唯一真正的风险场景是 ICC 芯片物理故障或索尼侧强制解除配对（这需要 PSN 服务器交互）。

结论：从零售主机上进行完整的出厂配对备份和恢复是不可行的。光驱证书可以作为参考转储，但不能用于重新配对。实用建议：不要解除光驱配对；当前的 FACTORY_PAIRED 状态是稳定的且具有自我保护能力。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

已识别的工具
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ddd_cert_dump.elf —— 通过 /dev/ddd 读取光驱证书；在越狱环境下安全
ddd_pair_dump.elf —— 转储配对通道状态；在越狱环境下安全
mose_diag.elf —— 工厂诊断工具；需要 /dev/manuauth
（仅限制造模式，不能在零售主机上使用）

相关的 SBL 函数：
sceSblDddGetPairingStatus() —— 读取配对状态
sceSblDddCheckPairingRegisterResponse() —— 写入路径（需要索尼签名）
sceSblDriveAuthSetPairingResData() —— 工厂写入（需要 manuauth）

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

安全注意事项
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

请勿向 /dev/iccnvs2 写入数据 —— NVS 损坏将永久破坏主机的配对能力，甚至可能造成更多问题。

请勿尝试注销/重新注册光驱 —— 此过程需经过索尼的配对服务器，之后你将无法恢复出厂配对状态。

所有调查操作在主机上均为只读。

Crazy_Tone

感谢分享，结论就是目前光驱无法备份掉了就只能联网更新

hu220

LZ分析的很详细，感谢研究与分享

twinsyut

还以为有大佬能把光驱。不连网就能激活

aren008

感谢！！

实况小生

好帖子支持

tanbaohua

谢谢LZ测试分享。

devseed

重置后就变成了DELETE_INCOMPLETE

clovercool

大神！！！实在太强大了

hddavid

丢光驱是传说级别事故，没见过真实案例啊