Question

我一直在这里阅读一些帖子和网络上的文章，但我不能为我的应用程序描绘一个基于串行密钥的系统。

://www.brandonstaggs/2007/07/26/implementing-a-partial-serial-number-verification-system-in-delphi/

我读了这个，但我不能把代码变成 Java，我也不是很熟悉这些术语。

你能给我什么可能的见解？理想情况下，我的应用程序将出售，但我不希望它很受欢迎，如果我有欣赏产品并购买它的用户，我不介意它被破解，但我想避免它很容易被破解。请尽可能具体，我对 Java 有点陌生。

提前谢谢。

13

6

4

Answer 1

我对那篇文章很感兴趣，所以我用 Java 实现了代码。可能有用

import java.util.Locale;
import java.util.Set;
import java.util.TreeSet;
public class KeyValidator {
    private static final byte[][] params = new byte[][] { { 24, 4, 127 }, { 10, 0, 56 }, { 1, 2, 91 }, { 7, 1, 100 } };
    private static final Set<String> blacklist = new TreeSet<String>();
    static {
        blacklist.add("11111111");
    }
    private static byte PKV_GetKeyByte(final int seed, final byte a, final byte b, final byte c) {
        final int a1 = a % 25;
        final int b1 = b % 3;
        if (a1 % 2 == 0) {
            return (byte) (((seed >> a1) & 0x000000FF) ^ ((seed >> b1) | c));
        } else {
            return (byte) (((seed >> a1) & 0x000000FF) ^ ((seed >> b1) & c));
        }
    }
    private static String PKV_GetChecksum(final String s) {
        int left = 0x0056;
        int right = 0x00AF;
        for (byte b : s.getBytes()) {
            right += b;
            if (right > 0x00FF) {
                right -= 0x00FF;
            }
            left += right;
            if (left > 0x00FF) {
                left -= 0x00FF;
            }
        }
        int sum = (left << 8) + right;
        return intToHex(sum, 4);
    }
    public static String PKV_MakeKey(final int seed) {
        // Fill KeyBytes with values derived from Seed.
        // The parameters used here must be exactly the same
        // as the ones used in the PKV_CheckKey function.
        // A real key system should use more than four bytes.
        final byte[] keyBytes = new byte[4];
        keyBytes[0] = PKV_GetKeyByte(seed, params[0][0], params[0][1], params[0][2]);
        keyBytes[1] = PKV_GetKeyByte(seed, params[1][0], params[1][1], params[1][2]);
        keyBytes[2] = PKV_GetKeyByte(seed, params[2][0], params[2][1], params[2][2]);
        keyBytes[3] = PKV_GetKeyByte(seed, params[3][0], params[3][1], params[3][2]);
        // the key string begins with a hexadecimal string of the seed
        final StringBuilder result = new StringBuilder(intToHex(seed, 8));
        // then is followed by hexadecimal strings of each byte in the key
        for (byte b : keyBytes) {
            result.append(intToHex(b, 2));
        }
        // add checksum to key string
        result.append(PKV_GetChecksum(result.toString()));
        final String key = result.toString();
        return key.substring(0, 4) + "-" + key.substring(4, 8) + "-" + key.substring(8, 12) + "-" + key.substring(12, 16) + "-" + key.substring(16, 20);
    }
    private static boolean PKV_CheckKeyChecksum(final String key) {
        // remove cosmetic hyphens and normalise case
        final String comp = key.replaceAll("-", "").toLowerCase(Locale.UK);
        if (comp.length() != 20) {
            return false; // Our keys are always 20 characters long
        }
        // last four characters are the checksum
        final String checksum = comp.substring(16);
        return checksum.equals(PKV_GetChecksum(comp.substring(0, 16)));
    }
    public static Status PKV_CheckKey(final String key) {
        if (!PKV_CheckKeyChecksum(key)) {
            return Status.KEY_INVALID; // bad checksum or wrong number of
            // characters
        }
        // remove cosmetic hyphens and normalise case
        final String comp = key.replaceAll("-", "").toLowerCase(Locale.UK);
        // test against blacklist
        for (String bl : blacklist) {
            if (comp.startsWith(bl)) {
                return Status.KEY_BLACKLISTED;
            }
        }
        // At this point, the key is either valid or forged,
        // because a forged key can have a valid checksum.
        // We now test the "bytes" of the key to determine if it is
        // actually valid.
        // When building your release application, use conditional defines
        // or comment out most of the byte checks! This is the heart
        // of the partial key verification system. By not compiling in
        // each check, there is no way for someone to build a keygen that
        // will produce valid keys. If an invalid keygen is released, you
        // simply change which byte checks are compiled in, and any serial
        // number built with the fake keygen no longer works.
        // Note that the parameters used for PKV_GetKeyByte calls MUST
        // MATCH the values that PKV_MakeKey uses to make the key in the
        // first place!
        // extract the Seed from the supplied key string
        final int seed;
        try {
            seed = Integer.valueOf(comp.substring(0, 8), 16);
        } catch (NumberFormatException e) {
            return Status.KEY_PHONY;
        }
        // test key 0
        final String kb0 = comp.substring(8, 10);
        final byte b0 = PKV_GetKeyByte(seed, params[0][0], params[0][1], params[0][2]);
        if (!kb0.equals(intToHex(b0, 2))) {
            return Status.KEY_PHONY;
        }
        // test key1
        final String kb1 = comp.substring(10, 12);
        final byte b1 = PKV_GetKeyByte(seed, params[1][0], params[1][1], params[1][2]);
        if (!kb1.equals(intToHex(b1, 2))) {
            return Status.KEY_PHONY;
        }
        // test key2
        final String kb2 = comp.substring(12, 14);
        final byte b2 = PKV_GetKeyByte(seed, params[2][0], params[2][1], params[2][2]);
        if (!kb2.equals(intToHex(b2, 2))) {
            return Status.KEY_PHONY;
        }
        // test key3
        final String kb3 = comp.substring(14, 16);
        final byte b3 = PKV_GetKeyByte(seed, params[3][0], params[3][1], params[3][2]);
        if (!kb3.equals(intToHex(b3, 2))) {
            return Status.KEY_PHONY;
        }
        // If we get this far, then it means the key is either good, or was made
        // with a keygen derived from "this" release.
        return Status.KEY_GOOD;
    }
    protected static String intToHex(final Number n, final int chars) {
        return String.format("%0" + chars + "x", n);
    }
    public enum Status {
        KEY_GOOD, KEY_INVALID, KEY_BLACKLISTED, KEY_PHONY
    }
}

Answer 2

这并不难，如果你在你的要求有点灵活-也许下面的方案会为你工作。

您可以生成 K = [SN，H（[X，SN，Y]）]，这是一个递增的序列号与哈希的串联，其中哈希是唯一常数 X 和 Y 之间的序列号串联的安全哈希函数，秘密"salt" you use to prevent the use of rainbow tables。

使用众所周知的安全哈希算法（例如 SHA-1 或 SHA-2;MD5 可能也是足够的，因为 MD5 的已知弱点是冲突攻击，而notpreimage attacks），您应该全部设置，至少就串行密钥部分而言（您可能希望防止两个人使用相同的密钥）。

您可以做的另一件事很有帮助，那就是使用 K = [SN，T，H（[X，SN，T，Y]）]-使用序列号和时间戳。这可以用于仅允许串行密钥的狭窄使用窗口：它在时间戳的 N 秒内有效，因此可以防止在该窗口之外重用密钥。

然后将 K 编码 / 解码为可以用于容易地允许用户输入密钥 (例如 base64) 的表示。

最好有一个简单而透明的整体算法-如果有人逆向工程你的方案，混淆不会帮助你。

Answer 3

一般来说，保护应用程序并不是一项简单的任务。许多公司正在投入大量资金来寻找新的安全算法，这些算法很快就会被破解。

保护 Java 应用程序有点困难。嵌入在应用程序中的任何串行验证算法都可以反编译，因此串行密钥生成器很容易构建。

一个很好的起点是您给出的文章，它告诉您如何构建密钥验证系统，以及如何为您的（合法）用户生成密钥。

在实现这样的算法之后，我建议你稍微保护源代码，所以反编译变得更加“棘手”。使用代码混淆技术来隐藏你的验证算法实现。这也会使人们试图通过修改字节码来破解你的应用程序变得更加困难。

一种好的技术可能是将您的密钥验证算法导出到远程服务器上。客户端将密钥发送到服务器，该服务器以“验证码”答复您的密钥有效。但这并不能阻止用户修改您的应用程序以删除任何密钥验证过程。对于没有 24 小时 Internet 连接的合法用户来说，这可能非常烦人。我正在考虑 Steam，它可以在 Internet 上的每次启动时验证密钥的有效性，并且使用户感到烦恼。

要找到一种好的保护技术，请环顾四周，并尝试确定其他人的工作方式，哪些技术有效，哪些无效。它们是很多例子（尤其是视频游戏行业）。但是请记住，即使是最好的公司也无确保护其应用程序。没有技术是牢不可破的。