使用 RSA 实施许可证验证

Question

我即将出售我用 C# 编写的程序，并且我想严格控制它的许可证。这意味着我想让客户端每次启动时都连接到我的服务器。这也使我能够禁用密钥（以防贝宝退款或分发代码）。当然这对于其他用户来说可能会很麻烦，但在这种情况下这是必要的。 由于我无法找到任何好的未破解的.NET 许可系统，因此我想采取自己编写一个小系统的方法。 我的计划是执行以下操作：

1. 生成包含软件附带的 1024 个字符的 key.dat（针对每个用户）
2. 在应用程序入口点中向我的服务器添加一个 httprequest，该请求发送 key.dat + 当前时间戳（加密）。
3. 我的 HTTP 服务器（运行 PHP）解密请求并检查密钥是否有效（在我的数据库中）并回复“访问级别”（许可证类型）。如果密钥无效或被禁用，它会回复错误代码。就像请求一样，回复也带有时间戳，因此某人无法通过向自己发送有效数据包来验证他的程序。正在客户端中检查时间戳。回复使用 RSA 和之前生成的公钥进行加密。
4. 客户端收到响应，用私钥解密并做出反应。

RSA 是正确的方法吗？因此我可以确保数据包是由我发送的并且不是由其他人拥有公钥制作的？ 有没有更好的方法来解决这个问题？

Answer 1

如果有人非常想要你的软件，他只会对其进行反编译，并删除在启动时打电话回家的部分代码。

如果您要向应用程序添加一个校验和来检查代码是否已被更改，那么有人可以更改程序检查的校验和（或完全删除检查）。

那些想要你的应用程序足够多的人会找到绕过你能想到的任何类型的保护的方法。你最好坚持做一些简单的事情，拥有一个值得花钱（而且很容易）的产品，并确保它物有所值。

---

编辑

鉴于保护很重要，用户将在其计算机上运行代码这一事实是您可以避免的风险。如果用户没有密码，就无法破解。他们无法复制并分享它。

现在，它可能不适用于您打算编写的应用程序，但您应该考虑编写 Web、Flash 或 Silverlight 应用程序，而不是常规客户端应用程序。这样您就不必将代码分发给客户。您所要做的就是管理应用程序中的凭据，这应该比您的迂回 RSA 系统容易得多。

以集中模式推出软件的新版本也更容易，而且您根本不必担心被盗。当然，负载将成为一个问题，而以前并不是这样。并非所有应用程序都可以轻松（或根本）集中化。我提出这个建议只是为了确保您考虑它，因为它是解决您问题的有效方法。

基于 Web 的应用程序将具有与您的应用程序相同的问题（即，每当用户离线、每当网络中断、每当您的服务器中断等时，它就会关闭）。因此，在这方面不存在额外的风险。

Answer 2

RSA 是正确的方法吗？

我不认为 RSA 是您的最佳选择。

PKE（公钥加密）的功能之一是它可以让以前从未交换过信息的各方（例如陌生人）相互交谈。

我认为这不适用于您的情况。您的软件非常了解您的服务器。他们不是“陌生人”。

请考虑使用共享密钥加密，其中您分发的软件的每个副本都被赋予一个唯一的密钥，并且您的服务器也知道每个用户的密钥。密钥永远不会发送，必须受到保护，但仍可用于加密、签名和验证通信。

---

编辑考虑评论和其他答案后。

任何非常想要您的软件的人都可以完全绕过身份验证。 RSA 没有采取任何措施来阻止这种情况。

真正的问题是：破坏单个许可证是否会使所有许可证变得脆弱/毫无价值。在这两种情况下（RSA 和密钥），答案是否定的。仅仅因为软件的一份副本被黑客攻击并暴露其密钥，或者许可证系统被绕过，其他副本就不会再暴露。在我看来，PKE 和 SSE 在这方面似乎是平等的。

因为共享密钥更容易实现，并且计算执行速度更快，所以我认为在这种情况下它比 RSA/PKE 更受欢迎。这并不是说 RSA 是“错误的”。它将实现您所追求的目标，达到与 SSE 相同的程度（不多也不少）。但我认为上交所是更明智的选择。