软件许可计划 [关闭]

Question

我设计了以下机制，以便在不直接连接到服务器的情况下授权软件，看起来很简单，但我没有发现任何严重的缺陷：

我计划使用非对称加密，以便从 1 个服务器（许可证服务器）向 n 个客户端（安装了软件的 n 台计算机）发送消息

1. 客户端发送（例如通过邮件）有关计算机的一些信息（MAC 地址、机器名称、您的名字）

2. 在许可证服务器上，这些信息使用安全可靠的公共（不那么公开）RSA 密钥进行加密，这个加密的有效负载就是许可证。

3. 加密的许可证发送给客户端

4. 当软件启动时，它会检查许可证文件，它能够确保使用每个版本的软件随附的相应 RSA 私钥使用服务器密钥对有效负载进行加密。

5. 许可证解密后，软件会检查它是否在获得许可证的同一台机器上运行。

   在我看来，如果不访问许可证服务器 RSA 密钥，任何人都无法伪造加密的有效负载。

当然，许可证可能被盗，然后在模拟真正客户端机器的虚拟机中启动软件，或者软件可能被反汇编以拔掉许可证检查。

但是这个方案足够好，还是我在这方面完全天真？

谢谢

Answer 1

这是一个不错的方案，尽管您确定要客户端拥有私钥而服务器拥有公钥吗？除非您每次安装都生成一个密钥对，否则不应该反过来吗？

方案很简单，但实用吗？如果您的目标是防止您的应用程序被随意破解，那么更简单的解决方案同样有效。如果您的目标是防止破解者运行您的应用程序，那么很可能 (a) 您不会成功，并且 (b) 您的程序不够重要，不值得关注。

当简单地对二进制文件进行十六进制编辑以将许可证检查代码更改为 NOP 几乎肯定可以正常工作时，为什么有人会试图攻击许可证方案的加密部分？

如果我是你，我会重新考虑许可策略及其对你的产品及其成功的重要性。