软件授权加密算法研究
转载自 brucevanfdm 。
介绍
软件授权机制的基础就是加密算法。加密算法可以简单分为对称加密算法(加解密均采用同一密钥)和非对称加密算法(采用公钥加密,私钥解密或私钥签名,公钥验签)。
AES 加密算法
AES(Advanced Encryption Standard)加密算法,在密码学中又称 Rijndael 加密算法,是一种区块加密标准算法。AES 加密算法由美国国家标准与技术研究(NIST)于2001年11月26日发布于 FIPS PUB 197,并在2002年5月26日成为有效的标准。现在 AES 加密算法已然成为对称密钥加密中最流行的算法之一。
RSA 加密算法
RSA(Ron Rivest、Adi Shamir、Leonard Adleman,3个提出者的姓氏首字母)加密算法是一种非对称加密算法(公钥加密算法)。RSA加密算法有一对密钥,一个是公开密钥,另一个是私有密钥,公钥用作加密,私钥则用作解密。使用公钥把加密后所得的密文,只能用相对应的私钥才能解密并得到原本的明文。RSA 的原理基于一个简单的数论知识:对两个互质的大数乘积进行因式分解很困难。RSA 加密算法有两种应用模式,分别为加解密模式、签名验签模式。
RSA 加密解密模式
RSA 加解密模式是指采用公钥加密,私钥解密的模式。其应用为:需要加密明文数据并解密的场景。发送方将公钥加密后的密文发送给接收方,接收方用私钥解密密文后即可得到明文。
RSA 签名验签模式
RSA 签名验签模式则是网文中常见的所谓**“私钥加密,公钥解密”的逻辑。它其实是指采用私钥签名,公钥验签的模式,其应用为:需要给一条消息署名的场景。发送方将明文+私钥签名后的明文摘要消息发送给接收方,接收方用公钥解密出来私钥签名后的明文摘要**,并计算出发送方传输过来的明文的摘要进行比对,一致则验签成功。常用数字签名算法有:MD5withRSA、SHA1withRSA、SHA256withRSA。
一般来说,对称算法比非对称算法的加解密速度要快得多,并且RSA加密算法加密的长度有限,单次加密最大不大于密钥长度。因此实际使用中一般会结合 RSA + AES 两者使用,这也是为什么要用 RSA 算法签名摘要或者加密 AES 密钥的原因,提高效率的同时规避加密长度限制。
比如在 HTTPS 通信中的 TLS( Transport Layer Security ,其前身是安全套接层 Secure Sockets Layer ,缩写:SSL )安全协议,握手时采用 RSA 算法加密随机数与对话密钥,握手成功后就采用 AES 算法进行对称加密通信。
软件授权设计逻辑
软件授权信息
首先来看激活码中包含一些基本的授权信息,如绑定的 AppId 、License 签发时间、License 有效期起止、客户信息等等,根据实际需求而定。这里采用 json 数据格式来表示授权信息。
{
"appId": "cn.fdm.offlicensedemo",
"issuedTime": 1595951714,
"notBefore": 1538671712,
"notAfter": 1640966400,
"customerInfo": "亚马逊公司"
}
激活码生成
RSA 签名算法可以保证授权信息安全护送到App上,并保证不被中间人篡改。
License = AesKey16 + IV16 + AesEnc(data).length + AesEnc(data) + RsaSign(AesEnc(data))
License
:就是最终生成的激活码字符串;AesKey16
:随机生成的16位AES密钥,选用固定长度密钥,因此不用拼接AesKey长度;AesEnc(data).length
:加密后的授权信息长度,由于授权信息会变动,因此需要拼接该密文长度,方便截取;AesEnc(data)
:AES加密后的授权信息;RsaSign(AesEnc(data))
:RSA私钥签名后的加密授权信息。
首先生成一个随机的AES密钥(16位即可),用来加密授权信息,完成明文信息的脱敏。然后将整段加密后的授权信息使用私钥进行签名,拼接生成的字符串就是最终的激活码了。
看到这里,也许有人会说:万一你这激活码生成规则被人知道了,怎么防止别人破解伪造啊?
答案是,即使有人了解了生成规则,不知道私钥,也无法通过篡改授权信息实现破解伪造激活码。因为我们的核心是基于非对称加密算法的签名逻辑。通过私钥对密文授权信息签名,而一旦授权信息改变,密文也随之改变,在验证环节使用公钥进行验签时就无法通过。因此,只要私钥始终未曾泄露,这个激活逻辑就是相对安全的。
def get_license(data, rsa_pri_key, aes_key, iv):
"""
Use AES and RSA algorithm to encrypt info, then get license.
:param data:
:param rsa_pri_key:
:param aes_key:
:param iv:
:return:
"""
aes_encrypt_data = aes_encrypt(data, aes_key, iv)
aes_encrypt_len = hex(len(aes_encrypt_data))
rsa_sign_data = rsa.sign(aes_encrypt_data.encode('utf-8'), rsa_pri_key, hash_method='SHA-1')
rsa_sign_data = base64.b64encode(rsa_sign_data).decode('utf-8')
return aes_key + iv + aes_encrypt_len + aes_encrypt_data + rsa_sign_data
得到的 license
实例:
bUdpOW04S3VLR3djOHY2SQ==Q0lvQ2p1THhIVWZaUDVLUQ==0x98sXJ9RzlEVHMoxsBbxK0i/Oec/odk9kiNFzib8lg4jcyqsHOvogQ2U8KbXI2e7W/JomFnL3ZDOIBqSY9Je8gX4h7UHMXYpJuI0vwDPLIN3E0Gp+mTtGCp9Qc0fLMfY8u4zP/n9GX0gwMiJ+4Zf/tPWg==SHntk8WiZDKc/mRRr1YQ3iPbZ6agxA6xi+xOck4EF+MHxgBMSd9zdACFqtZWMkkP0BNp7Z81G6Z4fedmBAA08g==
激活码校验
既然我们已经生成了激活码,那在校验时无非就是读取License,按照我们设计激活码时拼接的规则进行截取、校验。
激活步骤:
- 从程序中读取License激活码;
- 根据生成规则分割、截取出各段信息;
- 使用RSA公钥验签算法对 aes_encrypt()、rsa.sign() 进行验证,通过则说明信息可信;
- 接着使用激活码中截取的 aes_key 对 aes_encrypt_data 解密,得到可信的明文授权信息;
- 最后使用可信的明文授权信息与当前环境进行授权比对,如 AppId、授权时间等,即可完成激活流程。
def get_auth_info(licence, rsa_pub_ky):
"""
Use AES and RSA algorithm to decrypt info, then get authorized info.
:param licence:
:param rsa_pub_ky:
:return:
"""
aes_key = licence[:24]
iv = licence[24:48]
data_len = int(licence[48:52], 16)
aes_encrypt_data = licence[52: 52 + data_len]
rsa_sign_data = licence[52 + data_len:]
rsa_sign_data = base64.b64decode(rsa_sign_data.encode('utf-8'))
if not rsa.verify(aes_encrypt_data.encode('utf-8'), rsa_sign_data, rsa_pub_ky):
return False
else:
_auth_info = json.loads(aes_decrypt(aes_encrypt_data, aes_key, iv))
return _auth_info
至此,一个简单的软件激活码授权License就设计完成了,demo示例代码详见文末链接。
软件授权的增强思路
绑定硬件序列号逻辑
软件授权中,常见需要先在设备中运行程序,提取相关信息后,再生成激活码。其实提取的信息就是该设备的唯一信息摘要,如Mac地址、序列号等与硬件唯一关联的信息。
因此,如果我们需要防止软件授权被复制、转移时,就需要针对硬件信息进行加密、授权。
校验算法置于Native层
本文采用了 python
代码示例,展示了一个授权码的生成与校验逻辑。但由于 python
代码比较容易被破解,因此实际采用的授权激活方案建议将校验逻辑及关键业务逻辑置于 Native 层。通过 Native 层的 C/C++
代码直接读取授权文件,进行截取、校验,可以增加破解难度。
结语
本文主要介绍了 RSA + AES 加密算法基础知识,结合软件授权需求设计出了一种简单的离线软件授权 License 方案,为软件授权激活设计提供了一种思路。在实际应用中还需要兼顾更多细节,通过一定程度的完善演化来增加破解难度,在攻防的环节中守住阵地。
可能有人会说:软件授权还是可以破解的,强如微软不是也没能逃过软件破解?确实是,但这并不意味着软件授权是无用功。软件授权机制的一个价值在于使用破解版带来的焦虑,特别是企业级需要保证稳定的软件授权。