Ищем алгоритм лицензионного ключа

Не существует надежного алгоритма лицензирования. Действительно. Даже не один. Для самого популярного и самого дорогого проприетарного программного обеспечения, которое вы можете купить, вы также можете найти «генераторы ключей» и взломанные версии, не требующие лицензирования.

Вместо того, чтобы беспокоиться о том, чтобы сделать его «нерушимым», просто сделайте что-нибудь простое. Популярный механизм заключается в том, чтобы при покупке запрашивать имя пользователя, а затем давать ему лицензионный ключ, полученный из криптографического хэша (например, суммы MD5) имени пользователя или его разновидности. Затем в программном обеспечении вы снова запрашиваете их имя, а также регистрационный ключ (эта вещь, производная от MD5); вы проверяете, совпадают ли они, что активирует программное обеспечение.

Это можно взломать? Абсолютно. Как только кто-то поймет, как вы генерируете лицензионные ключи, он сможет сгенерировать свои собственные. Но если вы сохраните базу данных «официальных» лицензионных ключей, которые вы сгенерировали до сих пор, по крайней мере, вы сможете идентифицировать мошенников позже (возможно, когда они попытаются загрузить «премиум» контент или что-то в этом роде).

Но не беспокойтесь так сильно о том, что хакеры не смогут взломать ваш код. Это произойдет, но они составляют такую ​​крошечную часть рынка, что это не окажет существенного влияния на ваши общие продажи.

Я использую такую ​​систему:

• создать строку из лицензионного ключа Windows + дата окончания пробного периода

• генерировать хэш (Sha/md5) из строки

• преобразовать дату окончания пробного периода в целое число (например, количество дней)

• ключ становится датой окончания пробного периода + часть хэша

• преобразовать ключ только в символы верхнего регистра, чтобы облегчить ввод

ABCD-DEFG-HIJK...

проверка работает как

• снова преобразовать ключ в байты

• извлечь дату окончания пробного периода

• создать строку из лицензионного ключа Windows + дата окончания пробного периода

• хэш

• сравнить хэш с остальной частью ключа

это делает его достаточно сложным для моей аудитории.

Ответ заключается в том, что нет, не существует безопасного алгоритма лицензионного ключа, для понимания которого не требуется математический диплом.

Лучшие лицензионные ключи — это те, которые имеют цифровую подпись с использованием алгоритма асимметричного шифрования. Вы подписываете данные ключа закрытым ключом шифрования и встраиваете подпись в ключ, а проверка ключа (подразумевающая, среди прочего, проверку подписи) выполняется с помощью открытого ключа. Таким образом, никто не может создавать лицензионные ключи, если у них нет доступа к закрытому ключу, который является... закрытым. Проблема в том, что существует очень мало (и сложных) алгоритмов с достаточно короткими размерами подписи, чтобы их можно было встроить в ключ продукта. RSA не входит в их число (размер подписи для RSA512 составляет 1024 бита — слишком много).

Вы можете проверить SoftActivate Licensing SDK, он использует криптографию на основе эллиптических кривых для создания коротких лицензионных ключей с цифровой подписью (доступен исходный код C++/C#).

Честно говоря, то, что вы пытаетесь сделать, бессмысленно. Сколько бы времени вам ни понадобилось, чтобы написать систему проверки/шифрования/ключей, по оценкам, примерно вдвое меньше, чем кто-то ее взломает. Даже если вы зашифруете окончательный исполняемый файл. Однако в качестве отсрочки или способа уменьшить вероятность того, что люди получат премиальную поддержку для украденных копий, это поможет. Также для простого отслеживания покупателей. Или для удовольствия. :п

В любом случае, есть несколько способов справиться с этим. Многие программы используют строку имени (и, возможно, название компании) и хеш-функцию для генерации ключа. Это имеет то преимущество, что оно является постоянным (пока имя то же самое, хэш и ключ). Это также очень простая система, особенно если вы используете известный хэш, такой как MD5.

hash = md5(name);

Некоторые более причудливые приложения используют внутреннюю функцию для создания какого-либо кода проверки, и когда вы объединяете это и заданное имя, вы можете создать (и отправить обратно) хеш.

validCode = getCode(name);
hash = myHash(name ^ validCode);

В некоторых используется системный код (хорошим примером является Windows), где он берет образцы аппаратных средств и строит на их основе идентификатор. Если вы можете получить имя процессора или скорость, или что-то еще, вы можете запустить что-то подобное. Единственная проблема заключается в том, что системные изменения могут сделать код недействительным, поэтому вы можете либо предупредить своих пользователей (и отдать часть процесса), либо позволить им узнать об этом случайно (нехорошо).

sysID = processor_name() | ram_Speed();
hash = md5(sysID & name);

Вы можете использовать любую комбинацию хэш-функций, получения данных, ввода строк, логических операций и т. д. Следует учитывать одну вещь: вам не нужно иметь возможность обратить процесс вспять. Пока вы можете воспроизвести его с теми же результатами (любая хорошая хэш-функция может), вы можете сравнить хешированные результаты друг с другом и убедиться, что они действительны. Чем больше вы вложите, тем сложнее будет, но тем труднее будет взломать.

Надеюсь, это поможет с вашим вопросом.

В вопросах безопасности отказ от повторного использования хорошо известного и проверенного алгоритма и попытка создания собственного (без математических знаний) является самоубийственным.

Раскрытие информации: мне совершенно не хватает математической степени для создания такого алгоритма, и, честно говоря, я лично не знаю никого, у кого бы он был

Поскольку любой алгоритм, который вы сделаете, сломается, я бы сделал что-то простое:

const string secretMumboJumbo = "sdfkldafskjlfajmkldsfjaewumaskldfladkkldsfklj"

//For you to generate keys
string GenerateLicenceKey(int idNr)
{
    return Sha1Hmac(key=secretMumboJumbo, messageToEncode=idNr)
}

//For clients to check if key is valid, 
bool IsKeyValid(string key)
{
   for(int i=0;i<maxNrOfLicenceKeys;i++)
      if(key == GenerateLicenceKey(i))
         return true;
   return false;
}

Возможно, проверка может стать слишком медленной, потому что она должна пробовать все возможные ключи, но это также может быть полезно, чтобы избежать грубой силы.

Большинство фреймворков должны иметь HMAC-функцию для SHA1 или какую-то другую хеш-функцию. В худшем случае вы можете заменить это на md5 (key + id)

Не относитесь к этому алгоритму слишком серьезно, это всего лишь пример, и его, вероятно, очень легко взломать, поскольку ключ генерации должен быть включен в клиент, даже если он где-то спрятан в двоичном файле.

По моему честному мнению, лицензионные ключи довольно бесполезны.
Что мешает вашему клиенту распространять этот ключ среди других? Конечно, вы можете настроить сервер лицензионных ключей, который записывает количество активаций, но это стоит денег, и что произойдет, если он выйдет из строя или исчезнет?

По моему профессиональному мнению, создайте программное обеспечение, которое будет уникальным для пользователя (конечно, зашифрованным внутри программы). Например, если вы перейдете к помощи -> о программном обеспечении, отобразите имя человека, телефон и, возможно, его адрес. Таким образом, если они загрузят его на какой-нибудь пиратский сайт, не только другие люди узнают личную информацию этого парня ... но и вы, чтобы потребовать от него дополнительные лицензии или подать на него в суд.