[问答]软件离线授权比较稳妥的方案

The Go Programming Language

Go Projects

This topic created in 1355 days ago, the information mentioned may be changed or developed.

目前软件使用授权的方案如下

获取当前系统信息

        System Information
        Manufacturer: Alibaba Cloud
        Product Name: Alibaba Cloud ECS
        Version: pc-i440fx-2.1
        Serial Number: 033430d9-4d07-4c5a-8a9f-7ef4ce4ee142
        UUID: 033430D9-4D07-4C5A-8A9F-7EF4CE4EE142
        Wake-up Type: Power Switch
        SKU Number: Unknown
        Family: Unknown

虚拟机

        System Information
        Manufacturer: VMware, Inc.
        Product Name: VMware Virtual Platform
        Version: None
        Serial Number: VMware-56 4d a7 bf 49 4f 46 c6-d8 34 38 b1 df 82 2a 02
        UUID: BFA74D56-4F49-C646-D834-38B1DF822A02
        Wake-up Type: Power Switch
        SKU Number: Unknown
        Family: Unknown

基于 SN 或者 UUID ，网卡 MAC 地址，授权开始时间，当前授权时间，授权结束时间等进行序列化
最后基于序列化进行 RSA 私钥签名　类似于 JWT 方案，软件主体包含公钥验证下签名是否正常（软件记录每次运行时间，本次运行时间不得早于上次运行时间　同时也小于结束时间）
签名验证完反序列化获取授权主体信息对比验证当前系统 SN 或者 UUID 网卡等是否匹配

不知道还要什么需要补充的或者有更好的 Go 语言解决方案? 硬件安全狗?

14 replies • 2022-09-06 09:58:45 +08:00

root01

Aug 31, 2022

硬件坏了怎么办？需要换到其他电脑怎么办？

anviod

Aug 31, 2022

@root01 目前 ToB 的业务需求就有限制更换服务器,所有授权必须厂家人工授权, 所以不考虑更换服务器的事情.

zjsxwc

Aug 31, 2022

可以通过反汇编跳过判断语句来破解

sdcg1994

Aug 31, 2022 via Android

vmp 加壳

anviod

Aug 31, 2022

@zjsxwc
@sdcg1994
是的,遇到逆向确实头疼,要考虑反调试, 目前套一层自研的壳只覆盖了 X86_64, amd64; 其他平台 ARMV7 ARM64 RISC-V 完全是裸奔.

mosfet

Aug 31, 2022

最简单的就硬件加密狗吧

软件启动就验证，很容易反编译注释掉吧
验证的代码要藏好，最好是随机触发

不过离线软加密终究还是防君子不防小人

硬件自己开发的，就考虑加个诸如 ATSHA204A 之类的芯片

heguangyu5

Aug 31, 2022

看下这个 https://0xnobody.github.io/devirtualization-intro/
不要和搞逆向的斗智斗勇.

要转换思路:
1. 任何授权到最终都是一个 if 判断,搞掉这个判断授权就绕过了.
2. 不能假设别人定位不到这个 if.
3. 虽然能定位和绕过授权判断,但这需要时间,比如 10 分钟?
4. 添加足够多的授权判断.

我这边也是做 toB 的,并且是用 PHP 开发的.
为了保护源代码和搞定授权,开发了一个名为 bpc 的编译器.
bpc 在编译 php 代码的过程中,在合适的位置插入授权判断,插入数量由参数控制.
思路供参考.
https://bpc.dev

nothingistrue

Aug 31, 2022

有两个问题：
第一，签名生成过程要私钥，授权开始时间还好说因为你这是人工授权，软件每次运行时间这种实时信息是没法进入签名的。软件每次运行时间这一块，你不联网是很难验证的。
第二，签名之后的证书信息或加密信息，你总要随软件主体一起给出，这个不用硬件加密狗就总有被复制的可能性。

s7lx

Aug 31, 2022

参考下 2000-2010 年期间加密与解密是怎么斗智斗勇的：

- 起码不能留下明显的“if"的地点，不然破解是分分钟的事（叫“破解”）
- 非对称加密是个办法；
- 最好是关键模块授权，一机一期一个文件。续费、换机都要重新部署这个模块

anviod

Aug 31, 2022

@nothingistrue
@s7lx
@heguangyu5
@mosfet
公钥是硬编码在软件代码中, X64 自己的壳, 激活就是私钥签发一个激活文件 (授权主题加密和私钥签名)这个好处理, 每次运行会在内存上存储一份反序列化的变量上次运行时间和本次运行时间,会监听系统信号,在程序退出时修改本次运行时间, 最终文件加密落盘到硬盘, 下次启动读文件如果被修改,就重新激活
(目前是配合硬件加密狗来解决的, 但是发现市场上打狗棍的产品

sdcg1994

Aug 31, 2022 via Android

@anviod 加暗桩呗，内部埋各种校验，触发也不报错不退出，就是在适当的时候出些恶心的问题，比如 1+1 算成了 3 ，日志莫名其妙消失种种，winhex 就这么干的，市面上的破解就没有完美的

ragnaroks

Sep 1, 2022

道高一尺魔高一丈，这个问题无解；建议把部分功能做成硬件提供的，一张 PCIEx1 的成本就十几块，这样被破解的时间能延长很多

anviod

Sep 1, 2022

@ragnaroks
@sdcg1994
这个思路可以, 反正是没有绝对的安全,最多浪费对方的破解成本, 那么每次升级新功能暗装也跟着修改一下. 对于硬件可以外挂的方式也不错, 我去了解一下这个思路. 毕竟服务器大量空闲 PCIE 接口

ijrou

Sep 6, 2022

功能的话，全部走服务器，然后你怎么离线授权都可以