jetbrains 的 privatekey 泄露了?

2022-08-05 17:57:45 +08:00
 a33291
纯讨论

偶尔会用到 jetbrains 家的 webstorm,所以会在网上找下 licensekey 临时用一下.
然后网上有公众号(而且好几个)一直在定时更新 jetbrains 全家桶的激活码,当前 license 验证机制都是非对称算法实现的,按说只要他自己 privatekey 不泄露,别人生成的注册码应该是无法通过签名校验(前提不修改程序内置的 publickey),那么疑问是,难道这些人获取到了 privatekey?
1393 次点击
所在节点    问与答
5 条回复
RatioPattern
2022-08-05 18:49:33 +08:00
RSA 不是完全不能破解,很早之前就有人批量跑 512 位 RSA 的,现在算力疯涨,是有可能的
a33291
2022-08-05 20:30:59 +08:00
@RatioPattern 是一种可能,但是我个人认为这个概率还是比较低的.
诚然总算力不低,但是普通人能调动的非常少(或者说能调用这些资源耗费的代价可能比直接买正版还高)

早期学习逆向,就发现有些程序会内置密码 /数据库链接等敏感数据,虽然混淆加密,但是不完全可靠,按说这种大厂应该不会犯这种低级错误.
不知道有没有大佬了解个中奥秘,非常好奇
RatioPattern
2022-08-05 23:40:40 +08:00
@a33291 仔细看了下你里面并没有提到需要输入信息到公众号,是否公众号是不需要提供任何信息直接下发激活码的?这个可能是企业购买的比如 zf 专供批量装机版的激活码?
a33291
2022-08-06 11:33:53 +08:00
@RatioPattern 的确,他是无需提供任何信息,公众号输入关键字就回复一个激活码下载 url,是一个文本文件,内涵激活码,复制就可用,只是用人多了之后会被官方 ban 掉.

他每天都会变,激活码不相同.我又找了一下资料,jet 官方其实也提供了一个离线激活的"license server",没有仔细分析这个逻辑,有一定可能 privatekey 在这个离线激活 server 里,然后有人逆向分析出来了.

你提到的这个也是一个可能,之前没想到.之前我看 v2 上有人提到 x 乎有人在卖 56 一个的正版授权账号,这种就是利用的教育授权,但是利用的人多了之后邮箱会被 ban 掉.
ysc3839
2022-08-06 14:54:00 +08:00
有一说一,WinRAR 的私钥是泄漏了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/870945

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX