Windows序列号产生原理(椭圆曲线法)

admin管理员组

文章数量:1530085

参考：

http://www.calm-sea/bbs/showpost.asp?threadid=3942

http://baike.baidu/view/584834.html

http://dev.csdn/article/60115.shtm

http://blog.ixpub/html/36/14637836-418361.html 

http://www.metsky/archives/241.html

 

 

晓 2010-01-08 整理总结

 

 从Win95起，Microsoft的产品安装Key从原来的10位数字改为25位字符，这一改动，随着MicroSoft告别了简单的校验和，从此投入了椭圆曲线法的怀抱。从密码学的角度来看，这绝对是一个里程碑， 因为当时椭圆曲线法仍在研究论证阶段，MicroSoft是第一个将之实用以商业产品的厂家。　
　　那么在这25个字符里到底有什么呢？　

 

1.Base24　
　　这25个字符实际是114bits的数据用Base24进行UUCode后的结果（UUCode是早先Email对内容编码的一种方式，此处可以理解为将2进制表示的114位数字做进制转换，生成用24进制表示的一个25位数字），做为安装Key，这个Base必须绝对避免误认，所以MicroSoft选择了以下这24个字符做为UUCode的Base：　　BCDFGHJKMPQRTVWXY2346789　
　　所以，如果你的安装Key 有这24个字符以外的字符的话，你完全可以把它丢到垃圾筒里去了，它根本通不过了。

 

2.114 bits　
　 UUDecode后得到的114位按Intel高位在后的格式表示如下：　
[ X XXXXXXXX XXXXXXXX XXXXXXXXXXXXXXXXXX ] Total 114 Bits
   |         |               |                            / 55 Bits Sign
   |         |               / 28 Bits Hash　
   |         / 30 Bits Serial
   / 1 Bits Flag                 　
Flag： 不明标志，目前所见的各类Key中这一位总是为0。　
Serial：用户序列号，转成十进制表示为AAAABBBBBB（9-10位），对应显示为：　
零售版：xxxxx-AAA-BBBBBBx-xxxxx　
OEM版： xxxxx-OEM-0AAAABx-BBBBB　
以上31bits总称为Data，是CDKey中的基本部分。　
Hash：Data经特定处理得到的结果，见后文。　
Sign：Hash值的椭圆曲线签名，见后文。　

 

3.椭圆曲线签名算法　
　　　椭圆曲线密码学（ECC, Elliptic curve cryptography）是基于椭圆曲线数学的一种公钥密码的方法。　
所谓椭圆曲线是指这样一类曲线方程：
y^2 + a1*xy + a3*y = x^3 + a2*x^2 + a4*x + a6　
在密码学里用的是它的两个特例，而MicroSoft用的更是这两个特例中的特例：
y^2 = x^3 + a*x + b ( mod p )　
当a、b、p选定后，就可以确定一个椭圆曲线，再选择一个生成点 G(gx,gy)，　
于是，存在一个最小的整数q使得q*G=O，然后，再任意选择一个整数 k K(kx,ky)=k*G，这样椭圆曲线签名算法的Key就全生成了：　
公开密钥为：a,b,p,G(gx,gy),K(kx,ky)　
私有密钥为：a,b,p,G(gx,gy),q,k　
　　　要对Data签名时：　
A.先任意选择一个整数r B.将Data、rx、ry共100个字节求SHA-1，取结果中的28位得到Hash；　
C.求Sign = r - Hash * k ( mod q )；　
D.把Data、Hash、Sign三个数组合后UUCode得到25位CDKey。　
验证CDKey时：　
A.把25位CDKey先UUDecode再拆分后提到Data、Hash、Sign；　
B.求点R( rx, ry ) = Sing * G + Hash * K ( mod p )；　
C.将Data、rx、ry共100个字节求SHA-1，取结果中的28位得到Hash/'；　
D.如果Hash = Hash/'，则该CDKey为有效Key。

 

4.BINK　
　 从前面的说明可以看出，为了验证CDKey，Microsoft 必须公开椭圆曲线签名算法中的公开密钥，那么这个公开密钥放在哪里呢？答案是在pidgen.dll里的BINK资源里（其他产品如Office则被包在*.MSI），而且一共有两组，从目前已知的Key组合来看，第一组密钥是用以零售版本的，第二组则用于OEM版本。两个产品的Key能否通用就在于对应的密钥是否相同，比如中文版的Windows 2000的Pro/Srv/AdvSrv的第二组密钥也是相同的，即一个Windows 2000 Pro的OEM版的Key，可同时供 Windows 2000 Srv/Adv的OEM版使用。

 

5.破解及其难度　
　　　要破解CDKey的生成算法，必须从Microsoft公开的密钥中求出对应的私有密钥，即只要求出q和k即可。从BINK中公开的密钥来看，p 是一个384 bits的质数，看起来计算量好像至少要O(2^168)才行，但Microsoft设计中一个缺陷（？）使实际工作量降低到只有O(2^28)就可以了。　
为什么相差这么远？　
回头看看3.C中的式子： Sign = r - Hash * k ( mod q )　
通常情况下q可以是很大的值，因此Sign应该也很大，但MicroSoft为了减少用户输入的CDKey的数量，把Sign的值限死在55 bits，因此，自然也限定了q最多也不能超过56 bits。依此类推，由于k 作者曾经在一台赛扬II 800的机器上只用6个小时就解出某组密钥的q值，最多时在一台雷鸟1G上用了28个小时才算出另一组密钥的k值， 其他平均大约都在十个小时左右就可以求出。　

 

6.产品ID(ProductID)
　　产品ID是由五组十进制数组成，如下：
AAAAA        BBB        CCCCCCC        DD        EEE
52273        005        6861993        09        146

　　如果你用“ProductID”搜索注册表，你会发现一个与你安装的软件有关的产品ID。在Windows的控制面板里的系统里，你可以找到Windows 操作系统的产品ID。

每组数字所代表的意义如下表：
数字        意义
AAAAA        产品编号，例:55661为windows pro版 55660为HOME版
BBB        初级产品序列号的最高有效三位数字
CCCCCCC        初级产品序列号的最低有效六位数字以及校验数位的和
DD        用来验证产品序列号的公开密匙索引.例:PRO版为22,VLK版为23
EEE        随机值(用于电话激活时,产生不同的安装ID)
在上面的CCCCCCC部分中，由一个校验数位和六个数字组成。校验数位是这样计算得到的：将所有数位相加，包含一个检验数位，可以被七整除。

例:初级产品序列号的最低有效六位数字是728439
7 + 2 + 8 + 4 + 3 + 9 = 33
所以检验数位为2，因为
7 + 2 + 8 + 4 + 3 + 9 + 2 = 33 + 2 = 35
所得到的结果35可被七整除。所以产品ID中的CCCCCCC部分的结果为7284392。

 

7.OEM机制

对OEM授权的产品，从Windows XP开始微软引入了SLP（System-Locked Preinstallation）技术, 即将预装系统时候同电脑主板锁定。Windows XP采用的是SLP 1.0版，其原理是检测BIOS中是否存在由OEM硬件厂家设置的特定字串，这种方法易于伪造，但于存在更方便的VLK破解方法这没有普遍使用。
从 Vista 系统开始，SLP 验证技术升级为2.0。主要是加入了利用密钥对信息进行签名保护以防伪造的过程，需要在BIOS中专门的SLIC（Software Licensing Internal Code）表来支持。Windows 7系列中，采用了SLP 2.1技术，并没有对SLP技术进行大的改动，只是将SLIC中的Marker版本变成了2.1。

SLIC是SLP的重要部分，一般是烧写在BIOS ROM芯片中，作为操作系统激活鉴权的“最底层”标识，SLIC内部有OEM厂家的签名，在激活操作系统时，上层的OEM证书厂家必须跟SLIC厂家信息对应。SLIC一般是写在SLDT（Software Licensing Description Table，软件许可描述表）中的，SLDT长374字节。而SLDT写在ACPI（Advanced Configuration and Power Management Interface，高级配置和电源管理接口）。

OEM证书是微软根据OEM厂家提供的一些必要信息颁发的一个验证文件，扩展名为xrm-ms。OEM证书里集成了OEM厂家的身份信息及微软的数字签名。激活时必须与SLIC对应。

OEM密钥跟普通密钥看起来无异，但OEM密钥只能用于OEM激活方式，并且识别Windows版本。

Windows Vista，取消了其他大客户版本，仅保留OEM版激活。其并使用的是微软SLP 2.0，公钥取代了明文，给破解造成一定的困难。SLP 2.0技术的验证具体过程如下：
　　1、当Vista安装的时候，零售版本用户需要输入光盘盒上的序列号（CD-KEY）。对于随机购买了OEM版本Vista的用户，可以在主机上找到一个相应版本的标签，作为购买Vista OEM版的凭证。标签上面有一个带有象征意义的序列号，因为OEM版本的用户并不需要输入序列号。系统根据序列号识别Vista的不同版本，如基本家庭版、高级家庭版、商业版、旗舰版等。安装完毕后，序列号会被转换为四组字母或数字，即在“系统属性”里看到的“产品ID”。其中第二组是“OEM”的，即为OEM版本的序列号（CD-KEY）。从这里开始，产品ID代替了CD-KEY。同时，安装程序为OEM版本的安装生成一个OEM证书。
　　2、当每次系统启动时，BIOS里的信息就会被加载到内存中。
　　3、当登录Vista系统之后，系统调用SLP服务，验证操作系统的许可权，尤其是激活状态。开始根据产品ID来识别系统的授权状态。如果没有检测到产品ID或者没有检测到合法的零售版产品ID，则视为未激活。如果检测到合法的零售版产品ID，则视为成功激活。如果检测到OEM版的产品ID，则继续验证。
　　4、如果检测到OEM版产品ID，验证过程启动，并检查已安装的OEM证书是否正确。主要是用先前从BIOS加载到内存里的SLIC的公钥验证产品证书的数字签名。如果验证失败，则视为未激活。
　　5、验证ACPI里SLIC与RSDT（Root System Description Table，根系统描述表）的OEM ID字段比较，以及用ACPI里SLIC标志和XSDT（Extended System Description Table，扩展系统描述表）中的OEM ID和OEM Table ID字段比较，如果不一致，则视为未激活。
　　6、经过以上重重关卡之后，方视为正确的OEM授权，否则视为未激活并按照相关流程处理，例如要求激活。
　　Windows 7仍然保留OEM激活策略，采用的是SLP 2.1版。

下面是细致的验证过程。
1. 激活程序启动以后，如果检测到正确的SLP Key，开始OEM激活过程，否则进行WPA方式激活（在线或者电话激活）。
2. 检测OEM证书，并且利用OEM证书的数字签名，验证OEM证书的正确性（微软私钥签名，公钥验证），如果验证通过继续OEM激活，否则进行WPA激活。
3. 将SLIC中的OEM公钥、OEMID（OEM厂家身份信息）等信息与OEM证书中的信息相比较，如果匹配正确（表明OEM公钥等信息正确）则继续进行OEM激活，否则进行WPA激活。
4. 利用OEM公钥，对SLIC中Marker数字签名进行验证，如果 验证通过（表明Marker中Message信息正确）则继续OEM激活，否则WPA激活。
5. 验证Marker中的Windows旗标，如果旗标存在，则OEM激活过程继续，否则进行WPA激活。
6. 验证Marker的版本，如果（至少）为0x20001，则OEM激活过程继续，否则OEM激活失败，进行WPA激活。
7. 获取Marker中的OEM ID和OEM Table ID信息，将它与所有ACPI表头中的对应信息进行比较，如果一致则OEM激活成功，如果不一致则触发WPA激活过程。

过程要点概述：（并不符合全部细节信息，只是强调微软加密的关键点）
1. OEM证书含有【数据（OEMID等信息，MS公钥等）】+【散列值（对数据进行Hash）】+【签名数据（MS的私钥对散列值进行签名）】
2. SLIC中含有【数据（OEMID，Marker版本等信息，MS公钥等）】+【散列值（对数据进行Hash）】+【签名数据（MS的私钥对散列值进行签名）】
3. 首先，使用公钥验证OEM和SLIC的签名是否正确；然后，对比OEM和SLIC中的OEMID、公钥等信息是否相同；验证Marker版本等是否和当前安装的系统类型相符。

本文标签： 序列号椭圆曲线原理Windows