WindowsXP序列号产生原理(椭圆曲线法)
来源 https://blog.csdn.net/zhiyuan411/article/details/5156330
参考 https://www.licenturion.com/xp/fully-licensed-wpa.txt
从Win95起,Microsoft的产品安装Key从原来的10位数字改为25位字符,这一改动,随着MicroSoft告别了简单的校验和,从此投入了椭圆曲线法的怀抱。从密码学的角度来看,这绝对是一个里程碑, 因为当时椭圆曲线法仍在研究论证阶段,MicroSoft是第一个将之实用以商业产品的厂家。
那么在这25个字符里到底有什么呢?
1.Base24
这25个字符实际是114bits的数据用Base24进行UUCode后的结果(UUCode是早先Email对内容编码的一种方式,此处可以理解为将2进制表示的114位数字做进制转换,生成用24进制表示的一个25位数字),做为安装Key,这个Base必须绝对避免误认,所以MicroSoft选择了以下这24个字符做为UUCode的Base: BCDFGHJKMPQRTVWXY2346789
所以,如果你的安装Key 有这24个字符以外的字符的话,你完全可以把它丢到垃圾筒里去了,它根本通不过了。
2.114 bits
UUDecode后得到的114位按Intel高位在后的格式表示如下:
[ X XXXXXXXX XXXXXXXX XXXXXXXXXXXXXXXXXX ] Total 114 Bits
| | | / 55 Bits Sign
| | / 28 Bits Hash
| / 30 Bits Serial
/ 1 Bits Flag
Flag: 不明标志,目前所见的各类Key中这一位总是为0。
Serial:用户序列号,转成十进制表示为AAAABBBBBB(9-10位),对应显示为:
零售版:xxxxx-AAA-BBBBBBx-xxxxx
OEM版: xxxxx-OEM-0AAAABx-BBBBB
以上31bits总称为Data,是CDKey中的基本部分。
Hash:Data经特定处理得到的结果,见后文。
Sign:Hash值的椭圆曲线签名,见后文。
3.椭圆曲线签名算法
椭圆曲线密码学(ECC, Elliptic curve cryptography)是基于椭圆曲线数学的一种公钥密码的方法。
所谓椭圆曲线是指这样一类曲线方程:
y^2 + a1*xy + a3*y = x^3 + a2*x^2 + a4*x + a6
在密码学里用的是它的两个特例,而MicroSoft用的更是这两个特例中的特例:
y^2 = x^3 + a*x + b ( mod p )
当a、b、p选定后,就可以确定一个椭圆曲线,再选择一个生成点 G(gx,gy),
于是,存在一个最小的整数q使得q*G=O,然后,再任意选择一个整数 k K(kx,ky)=k*G,这样椭圆曲线签名算法的Key就全生成了:
公开密钥为:a,b,p,G(gx,gy),K(kx,ky)
私有密钥为:a,b,p,G(gx,gy),q,k
要对Data签名时:
A.先任意选择一个整数r B.将Data、rx、ry共100个字节求SHA-1,取结果中的28位得到Hash;
C.求Sign = r - Hash * k ( mod q );
D.把Data、Hash、Sign三个数组合后UUCode得到25位CDKey。
验证CDKey时:
A.把25位CDKey先UUDecode再拆分后提到Data、Hash、Sign;
B.求点R( rx, ry ) = Sing * G + Hash * K ( mod p );
C.将Data、rx、ry共100个字节求SHA-1,取结果中的28位得到Hash/';
D.如果Hash = Hash/',则该CDKey为有效Key。
4.BINK
从前面的说明可以看出,为了验证CDKey,Microsoft 必须公开椭圆曲线签名算法中的公开密钥,那么这个公开密钥放在哪里呢?答案是在pidgen.dll里的BINK资源里(其他产品如Office则被包在*.MSI),而且一共有两组,从目前已知的Key组合来看,第一组密钥是用以零售版本的,第二组则用于OEM版本。两个产品的Key能否通用就在于对应的密钥是否相同,比如中文版的Windows 2000的Pro/Srv/AdvSrv的第二组密钥也是相同的,即一个Windows 2000 Pro的OEM版的Key,可同时供 Windows 2000 Srv/Adv的OEM版使用。
5.破解及其难度
要破解CDKey的生成算法,必须从Microsoft公开的密钥中求出对应的私有密钥,即只要求出q和k即可。从BINK中公开的密钥来看,p 是一个384 bits的质数,看起来计算量好像至少要O(2^168)才行,但Microsoft设计中一个缺陷(?)使实际工作量降低到只有O(2^28)就可以了。
为什么相差这么远?
回头看看3.C中的式子: Sign = r - Hash * k ( mod q )
通常情况下q可以是很大的值,因此Sign应该也很大,但MicroSoft为了减少用户输入的CDKey的数量,把Sign的值限死在55 bits,因此,自然也限定了q最多也不能超过56 bits。依此类推,由于k 作者曾经在一台赛扬II 800的机器上只用6个小时就解出某组密钥的q值,最多时在一台雷鸟1G上用了28个小时才算出另一组密钥的k值, 其他平均大约都在十个小时左右就可以求出。
6.产品ID(ProductID)
产品ID是由五组十进制数组成,如下:
AAAAA BBB CCCCCCC DD EEE
52273 005 6861993 09 146
如果你用“ProductID”搜索注册表,你会发现一个与你安装的软件有关的产品ID。在Windows的控制面板里的系统里,你可以找到Windows 操作系统的产品ID。
每组数字所代表的意义如下表:
数字 意义
AAAAA 产品编号,例:55661为windows pro版 55660为HOME版
BBB 初级产品序列号的最高有效三位数字
CCCCCCC 初级产品序列号的最低有效六位数字以及校验数位的和
DD 用来验证产品序列号的公开密匙索引.例:PRO版为22,VLK版为23
EEE 随机值(用于电话激活时,产生不同的安装ID)
在上面的CCCCCCC部分中,由一个校验数位和六个数字组成。校验数位是这样计算得到的:将所有数位相加,包含一个检验数位,可以被七整除。
例:初级产品序列号的最低有效六位数字是728439
7 + 2 + 8 + 4 + 3 + 9 = 33
所以检验数位为2,因为
7 + 2 + 8 + 4 + 3 + 9 + 2 = 33 + 2 = 35
所得到的结果35可被七整除。所以产品ID中的CCCCCCC部分的结果为7284392。
7.OEM机制
对OEM授权的产品,从Windows XP开始微软引入了SLP(System-Locked Preinstallation)技术, 即将预装系统时候同电脑主板锁定。Windows XP采用的是SLP 1.0版,其原理是检测BIOS中是否存在由OEM硬件厂家设置的特定字串,这种方法易于伪造,但于存在更方便的VLK破解方法这没有普遍使用。
从 Vista 系统开始,SLP 验证技术升级为2.0。主要是加入了利用密钥对信息进行签名保护以防伪造的过程,需要在BIOS中专门的SLIC(Software Licensing Internal Code)表来支持。Windows 7系列中,采用了SLP 2.1技术,并没有对SLP技术进行大的改动,只是将SLIC中的Marker版本变成了2.1。
SLIC是SLP的重要部分,一般是烧写在BIOS ROM芯片中,作为操作系统激活鉴权的“最底层”标识,SLIC内部有OEM厂家的签名,在激活操作系统时,上层的OEM证书厂家必须跟SLIC厂家信息对应。SLIC一般是写在SLDT(Software Licensing Description Table,软件许可描述表)中的,SLDT长374字节。而SLDT写在ACPI(Advanced Configuration and Power Management Interface,高级配置和电源管理接口)。
OEM证书是微软根据OEM厂家提供的一些必要信息颁发的一个验证文件,扩展名为xrm-ms。OEM证书里集成了OEM厂家的身份信息及微软的数字签名。激活时必须与SLIC对应。
OEM密钥跟普通密钥看起来无异,但OEM密钥只能用于OEM激活方式,并且识别Windows版本。
Windows Vista,取消了其他大客户版本,仅保留OEM版激活。其并使用的是微软SLP 2.0,公钥取代了明文,给破解造成一定的困难。SLP 2.0技术的验证具体过程如下:
1、当Vista安装的时候,零售版本用户需要输入光盘盒上的序列号(CD-KEY)。对于随机购买了OEM版本Vista的用户,可以在主机上找到一个相应版本的标签,作为购买Vista OEM版的凭证。标签上面有一个带有象征意义的序列号,因为OEM版本的用户并不需要输入序列号。系统根据序列号识别Vista的不同版本,如基本家庭版、高级家庭版、商业版、旗舰版等。安装完毕后,序列号会被转换为四组字母或数字,即在“系统属性”里看到的“产品ID”。其中第二组是“OEM”的,即为OEM版本的序列号(CD-KEY)。从这里开始,产品ID代替了CD-KEY。同时,安装程序为OEM版本的安装生成一个OEM证书。
2、当每次系统启动时,BIOS里的信息就会被加载到内存中。
3、当登录Vista系统之后,系统调用SLP服务,验证操作系统的许可权,尤其是激活状态。开始根据产品ID来识别系统的授权状态。如果没有检测到产品ID或者没有检测到合法的零售版产品ID,则视为未激活。如果检测到合法的零售版产品ID,则视为成功激活。如果检测到OEM版的产品ID,则继续验证。
4、如果检测到OEM版产品ID,验证过程启动,并检查已安装的OEM证书是否正确。主要是用先前从BIOS加载到内存里的SLIC的公钥验证产品证书的数字签名。如果验证失败,则视为未激活。
5、验证ACPI里SLIC与RSDT(Root System Description Table,根系统描述表)的OEM ID字段比较,以及用ACPI里SLIC标志和XSDT(Extended System Description Table,扩展系统描述表)中的OEM ID和OEM Table ID字段比较,如果不一致,则视为未激活。
6、经过以上重重关卡之后,方视为正确的OEM授权,否则视为未激活并按照相关流程处理,例如要求激活。
Windows 7仍然保留OEM激活策略,采用的是SLP 2.1版。
下面是细致的验证过程。
1. 激活程序启动以后,如果检测到正确的SLP Key,开始OEM激活过程,否则进行WPA方式激活(在线或者电话激活)。
2. 检测OEM证书,并且利用OEM证书的数字签名,验证OEM证书的正确性(微软私钥签名,公钥验证),如果验证通过继续OEM激活,否则进行WPA激活。
3. 将SLIC中的OEM公钥、OEMID(OEM厂家身份信息)等信息与OEM证书中的信息相比较,如果匹配正确(表明OEM公钥等信息正确)则继续进行OEM激活,否则进行WPA激活。
4. 利用OEM公钥,对SLIC中Marker数字签名进行验证,如果 验证通过(表明Marker中Message信息正确)则继续OEM激活,否则WPA激活。
5. 验证Marker中的Windows旗标,如果旗标存在,则OEM激活过程继续,否则进行WPA激活。
6. 验证Marker的版本,如果(至少)为0x20001,则OEM激活过程继续,否则OEM激活失败,进行WPA激活。
7. 获取Marker中的OEM ID和OEM Table ID信息,将它与所有ACPI表头中的对应信息进行比较,如果一致则OEM激活成功,如果不一致则触发WPA激活过程。
过程要点概述:(并不符合全部细节信息,只是强调微软加密的关键点)
1. OEM证书含有【数据(OEMID等信息,MS公钥等)】+【散列值(对数据进行Hash)】+【签名数据(MS的私钥对散列值进行签名)】
2. SLIC中含有【数据(OEMID,Marker版本等信息,MS公钥等)】+【散列值(对数据进行Hash)】+【签名数据(MS的私钥对散列值进行签名)】
3. 首先,使用公钥验证OEM和SLIC的签名是否正确;然后,对比OEM和SLIC中的OEMID、公钥等信息是否相同;验证Marker版本等是否和当前安装的系统类型相符。
===========================
Srv2003KGmain.cpp
#include <stdio.h> #include <string.h> #include <openssl/bn.h> #include <openssl/ec.h> #include <openssl/sha.h> #include <openssl/rand.h> #include <assert.h> typedef unsigned char U8; typedef unsigned long U32; U8 cset[] = "BCDFGHJKMPQRTVWXY2346789"; #define FIELD_BITS_2003 512 #define FIELD_BYTES_2003 64 void unpack2003(U32 *osfamily, U32 *hash, U32 *sig, U32 *prefix, U32 *raw) { osfamily[0] = raw[0] & 0x7ff; hash[0] = ((raw[0] >> 11) | (raw[1] << 21)) & 0x7fffffff; sig[0] = (raw[1] >> 10) | (raw[2] << 22); sig[1] = ((raw[2] >> 10) | (raw[3] << 22)) & 0x3fffffff; prefix[0] = (raw[3] >> 8) & 0x3ff; } void pack2003(U32 *raw, U32 *osfamily, U32 *hash, U32 *sig, U32 *prefix) { raw[0] = osfamily[0] | (hash[0] << 11); raw[1] = (hash[0] >> 21) | (sig[0] << 10); raw[2] = (sig[0] >> 22) | (sig[1] << 10); raw[3] = (sig[1] >> 22) | (prefix[0] << 8); } static void endian(U8 *x, int n) { int i; for (i = 0; i < n/2; i++) { U8 t; t = x[i]; x[i] = x[n-i-1]; x[n-i-1] = t; } } void unbase24(U32 *x, U8 *c) { memset(x, 0, 16); int i, n; BIGNUM *y = BN_new(); BN_zero(y); for (i = 0; i < 25; i++) { BN_mul_word(y, 24); BN_add_word(y, c[i]); } n = BN_num_bytes(y); BN_bn2bin(y, (U8 *)x); BN_free(y); endian((U8 *)x, n); } void base24(U8 *c, U32 *x) { U8 y[16]; int i; BIGNUM *z; memcpy(y, x, sizeof(y)); for (i = 15; y[i] == 0; i--) {} i++; endian(y, i); z = BN_bin2bn(y, i, NULL); c[25] = 0; for (i = 24; i >= 0; i--) { U8 t = BN_div_word(z, 24); c[i] = cset[t]; } BN_free(z); } void print_product_key(U8 *pk) { int i; assert(strlen(pk) == 25); for (i = 0; i < 25; i++) { putchar(pk[i]); if (i != 24 && i % 5 == 4) putchar('-'); } } void verify2003(EC_GROUP *ec, EC_POINT *generator, EC_POINT *public_key, char *cdkey) { U8 key[25]; int i, j, k; BN_CTX *ctx = BN_CTX_new(); for (i = 0, k = 0; i < strlen(cdkey); i++) { for (j = 0; j < 24; j++) { if (cdkey[i] != '-' && cdkey[i] == cset[j]) { key[k++] = j; break; } assert(j < 24); } if (k >= 25) break; } U32 bkey[4] = {0}; U32 osfamily[1], hash[1], sig[2], prefix[1]; unbase24(bkey, key); printf("%.8x %.8x %.8x %.8x ", bkey[3], bkey[2], bkey[1], bkey[0]); unpack2003(osfamily, hash, sig, prefix, bkey); printf("OS Family: %u Hash: %.8x Sig: %.8x %.8x Prefix: %.8x ", osfamily[0], hash[0], sig[1], sig[0], prefix[0]); U8 buf[FIELD_BYTES_2003], md[20]; U32 h1[2]; SHA_CTX h_ctx; /* h1 = SHA-1(5D || OS Family || Hash || Prefix || 00 00) */ SHA1_Init(&h_ctx); buf[0] = 0x5d; buf[1] = osfamily[0] & 0xff; buf[2] = (osfamily[0] & 0xff00) >> 8; buf[3] = hash[0] & 0xff; buf[4] = (hash[0] & 0xff00) >> 8; buf[5] = (hash[0] & 0xff0000) >> 16; buf[6] = (hash[0] & 0xff000000) >> 24; buf[7] = prefix[0] & 0xff; buf[8] = (prefix[0] & 0xff00) >> 8; buf[9] = buf[10] = 0; SHA1_Update(&h_ctx, buf, 11); SHA1_Final(md, &h_ctx); h1[0] = md[0] | (md[1] << 8) | (md[2] << 16) | (md[3] << 24); h1[1] = (md[4] | (md[5] << 8) | (md[6] << 16) | (md[7] << 24)) >> 2; h1[1] &= 0x3FFFFFFF; printf("h1: %.8x %.8x ", h1[1], h1[0]); BIGNUM *s, *h, *x, *y; x = BN_new(); y = BN_new(); endian((U8 *)sig, 8); endian((U8 *)h1, 8); s = BN_bin2bn((U8 *)sig, 8, NULL); h = BN_bin2bn((U8 *)h1, 8, NULL); EC_POINT *r = EC_POINT_new(ec); EC_POINT *t = EC_POINT_new(ec); /* r = sig*(sig*generator + h1*public_key) */ EC_POINT_mul(ec, t, NULL, generator, s, ctx); EC_POINT_mul(ec, r, NULL, public_key, h, ctx); EC_POINT_add(ec, r, r, t, ctx); EC_POINT_mul(ec, r, NULL, r, s, ctx); EC_POINT_get_affine_coordinates_GFp(ec, r, x, y, ctx); U32 h2[1]; /* h2 = SHA-1(79 || OS Family || r.x || r.y) */ SHA1_Init(&h_ctx); buf[0] = 0x79; buf[1] = osfamily[0] & 0xff; buf[2] = (osfamily[0] & 0xff00) >> 8; SHA1_Update(&h_ctx, buf, 3); memset(buf, 0, FIELD_BYTES_2003); BN_bn2bin(x, buf); endian((U8 *)buf, FIELD_BYTES_2003); SHA1_Update(&h_ctx, buf, FIELD_BYTES_2003); memset(buf, 0, FIELD_BYTES_2003); BN_bn2bin(y, buf); endian((U8 *)buf, FIELD_BYTES_2003); SHA1_Update(&h_ctx, buf, FIELD_BYTES_2003); SHA1_Final(md, &h_ctx); h2[0] = (md[0] | (md[1] << 8) | (md[2] << 16) | (md[3] << 24)) & 0x7fffffff; printf("Calculated hash: %.8x ", h2[0]); if (h2[0] == hash[0]) printf("Key VALID "); else printf("Key invalid "); BN_free(s); BN_free(h); BN_free(x); BN_free(y); EC_POINT_free(r); EC_POINT_free(t); BN_CTX_free(ctx); } void generate2003(U8 *pkey, EC_GROUP *ec, EC_POINT *generator, BIGNUM *order, BIGNUM *priv, U32 *osfamily, U32 *prefix) { BN_CTX *ctx = BN_CTX_new(); BIGNUM *k = BN_new(); BIGNUM *s = BN_new(); BIGNUM *x = BN_new(); BIGNUM *y = BN_new(); BIGNUM *b = BN_new(); EC_POINT *r = EC_POINT_new(ec); U32 bkey[4]; U8 buf[FIELD_BYTES_2003], md[20]; U32 h1[2]; U32 hash[1], sig[2]; SHA_CTX h_ctx; for (;;) { /* r = k*generator */ BN_pseudo_rand(k, FIELD_BITS_2003, -1, 0); EC_POINT_mul(ec, r, NULL, generator, k, ctx); EC_POINT_get_affine_coordinates_GFp(ec, r, x, y, ctx); /* hash = SHA-1(79 || OS Family || r.x || r.y) */ SHA1_Init(&h_ctx); buf[0] = 0x79; buf[1] = osfamily[0] & 0xff; buf[2] = (osfamily[0] & 0xff00) >> 8; SHA1_Update(&h_ctx, buf, 3); memset(buf, 0, FIELD_BYTES_2003); BN_bn2bin(x, buf); endian((U8 *)buf, FIELD_BYTES_2003); SHA1_Update(&h_ctx, buf, FIELD_BYTES_2003); memset(buf, 0, FIELD_BYTES_2003); BN_bn2bin(y, buf); endian((U8 *)buf, FIELD_BYTES_2003); SHA1_Update(&h_ctx, buf, FIELD_BYTES_2003); SHA1_Final(md, &h_ctx); hash[0] = (md[0] | (md[1] << 8) | (md[2] << 16) | (md[3] << 24)) & 0x7fffffff; /* h1 = SHA-1(5D || OS Family || Hash || Prefix || 00 00) */ SHA1_Init(&h_ctx); buf[0] = 0x5d; buf[1] = osfamily[0] & 0xff; buf[2] = (osfamily[0] & 0xff00) >> 8; buf[3] = hash[0] & 0xff; buf[4] = (hash[0] & 0xff00) >> 8; buf[5] = (hash[0] & 0xff0000) >> 16; buf[6] = (hash[0] & 0xff000000) >> 24; buf[7] = prefix[0] & 0xff; buf[8] = (prefix[0] & 0xff00) >> 8; buf[9] = buf[10] = 0; SHA1_Update(&h_ctx, buf, 11); SHA1_Final(md, &h_ctx); h1[0] = md[0] | (md[1] << 8) | (md[2] << 16) | (md[3] << 24); h1[1] = (md[4] | (md[5] << 8) | (md[6] << 16) | (md[7] << 24)) >> 2; h1[1] &= 0x3FFFFFFF; printf("h1: %.8x %.8x ", h1[1], h1[0]); /* s = ( -h1*priv + sqrt( (h1*priv)^2 + 4k ) ) / 2 */ endian((U8 *)h1, 8); BN_bin2bn((U8 *)h1, 8, b); BN_mod_mul(b, b, priv, order, ctx); BN_copy(s, b); BN_mod_sqr(s, s, order, ctx); BN_lshift(k, k, 2); BN_add(s, s, k); BN_mod_sqrt(s, s, order, ctx); BN_mod_sub(s, s, b, order, ctx); if (BN_is_odd(s)) { BN_add(s, s, order); } BN_rshift1(s, s); sig[0] = sig[1] = 0; BN_bn2bin(s, (U8 *)sig); endian((U8 *)sig, BN_num_bytes(s)); if (sig[1] < 0x40000000) break; } pack2003(bkey, osfamily, hash, sig, prefix); printf("OS family: %u Hash: %.8x Sig: %.8x %.8x Prefix: %.8x ", osfamily[0], hash[0], sig[1], sig[0], prefix[0]); printf("%.8x %.8x %.8x %.8x ", bkey[3], bkey[2], bkey[1], bkey[0]); base24(pkey, bkey); BN_free(k); BN_free(s); BN_free(x); BN_free(y); BN_free(b); EC_POINT_free(r); BN_CTX_free(ctx); } int main() { BIGNUM *a, *b, *p, *gx, *gy, *pubx, *puby, *n, *priv; BN_CTX *ctx = BN_CTX_new(); a = BN_new(); b = BN_new(); p = BN_new(); gx = BN_new(); gy = BN_new(); pubx = BN_new(); puby = BN_new(); n = BN_new(); priv = BN_new(); /* Windows Sever 2003 VLK */ BN_set_word(a, 1); BN_set_word(b, 0); BN_hex2bn(&p, "C9AE7AED19F6A7E100AADE98134111AD8118E59B8264734327940064BC675A0C682E19C89695FBFA3A4653E47D47FD7592258C7E3C3C61BBEA07FE5A7E842379"); BN_hex2bn(&gx, "85ACEC9F9F9B456A78E43C3637DC88D21F977A9EC15E5225BD5060CE5B892F24FEDEE574BF5801F06BC232EEF2161074496613698D88FAC4B397CE3B475406A7"); BN_hex2bn(&gy, "66B7D1983F5D4FE43E8B4F1E28685DE0E22BBE6576A1A6B86C67533BF72FD3D082DBA281A556A16E593DB522942C8DD7120BA50C9413DF944E7258BDDF30B3C4"); BN_hex2bn(&pubx, "90BF6BD980C536A8DB93B52AA9AEBA640BABF1D31BEC7AA345BB7510194A9B07379F552DA7B4A3EF81A9B87E0B85B5118E1E20A098641EE4CCF2045558C98C0E"); BN_hex2bn(&puby, "6B87D1E658D03868362945CDD582E2CF33EE4BA06369E0EFE9E4851F6DCBEC7F15081E250D171EA0CC4CB06435BCFCFEA8F438C9766743A06CBD06E7EFB4C3AE"); BN_hex2bn(&n, "4CC5C56529F0237D"); // from mskey 4in1 BN_hex2bn(&priv, "2606120F59C05118"); EC_GROUP *ec = EC_GROUP_new_curve_GFp(p, a, b, ctx); EC_POINT *g = EC_POINT_new(ec); EC_POINT_set_affine_coordinates_GFp(ec, g, gx, gy, ctx); EC_POINT *pub = EC_POINT_new(ec); EC_POINT_set_affine_coordinates_GFp(ec, pub, pubx, puby, ctx); assert(EC_POINT_is_on_curve(ec, g, ctx) == 1); assert(EC_POINT_is_on_curve(ec, pub, ctx) == 1); U8 pkey[25]; U32 osfamily[1], prefix[1]; osfamily[0] = 1280; RAND_pseudo_bytes((U8 *)prefix, 4); prefix[0] &= 0x3ff; generate2003(pkey, ec, g, n, priv, osfamily, prefix); print_product_key(pkey); printf(" "); verify2003(ec, g, pub, pkey); BN_CTX_free(ctx); return 0; }
XPKGmain.cpp
/* Windows XP CD Key Verification/Generator v0.03 by z22 Compile with OpenSSL libs, modify to suit your needs. http://gnuwin32.sourceforge.net/packages/openssl.htm History: 0.03 Stack corruptionerror on exit fixed (now pkey is large enough) More Comments added 0.02 Changed name the *.cpp; Fixed minor bugs & Make it compilable on VC++ 0.01 First version compilable MingW */ #include <stdio.h> #include <string.h> #include <openssl/bn.h> #include <openssl/ec.h> #include <openssl/sha.h> #include <assert.h> #define FIELD_BITS 384 #define FIELD_BYTES 48 unsigned char cset[] = "BCDFGHJKMPQRTVWXY2346789"; static void unpack(unsigned long *pid, unsigned long *hash, unsigned long *sig, unsigned long *raw) { // pid = Bit 0..30 pid[0] = raw[0] & 0x7fffffff; // hash(s) = Bit 31..58 hash[0] = ((raw[0] >> 31) | (raw[1] << 1)) & 0xfffffff; // sig(e) = bit 58..113 sig[0] = (raw[1] >> 27) | (raw[2] << 5); sig[1] = (raw[2] >> 27) | (raw[3] << 5); } static void pack(unsigned long *raw, unsigned long *pid, unsigned long *hash, unsigned long *sig) { raw[0] = pid[0] | ((hash[0] & 1) << 31); raw[1] = (hash[0] >> 1) | ((sig[0] & 0x1f) << 27); raw[2] = (sig[0] >> 5) | (sig[1] << 27); raw[3] = sig[1] >> 5; } // Reverse data static void endian(unsigned char *data, int len) { int i; for (i = 0; i < len/2; i++) { unsigned char temp; temp = data[i]; data[i] = data[len-i-1]; data[len-i-1] = temp; } } void unbase24(unsigned long *x, unsigned char *c) { memset(x, 0, 16); int i, n; BIGNUM *y = BN_new(); BN_zero(y); for (i = 0; i < 25; i++) { BN_mul_word(y, 24); BN_add_word(y, c[i]); } n = BN_num_bytes(y); BN_bn2bin(y, (unsigned char *)x); BN_free(y); endian((unsigned char *)x, n); } void base24(unsigned char *c, unsigned long *x) { unsigned char y[16]; int i; BIGNUM *z; // Convert x to BigNum z memcpy(y, x, sizeof(y)); // Copy X to Y; Y=X for (i = 15; y[i] == 0; i--) {} i++; // skip following nulls endian(y, i); // Reverse y z = BN_bin2bn(y, i, NULL); // Convert y to BigNum z // Divide z by 24 and convert remainder with cset to Base24-CDKEY Char c[25] = 0; for (i = 24; i >= 0; i--) { unsigned char t = BN_div_word(z, 24); c[i] = cset[t]; } BN_free(z); } void print_product_id(unsigned long *pid) { char raw[12]; char b[6], c[8]; int i, digit = 0; // Cut a away last bit of pid and convert it to an accii-number (=raw) sprintf(raw, "%d", pid[0] >> 1); // Make b-part {640-....} strncpy(b, raw, 3); b[3] = 0; // Make c-part {...-123456X...} strcpy(c, raw + 3); // Make checksum digit-part {...56X-} assert(strlen(c) == 6); for (i = 0; i < 6; i++) digit -= c[i] - '0'; // Sum digits while (digit < 0) digit += 7; c[6] = digit + '0'; c[7] = 0; printf("Product ID: 55274-%s-%s-23xxx ", b, c); } void print_product_key(unsigned char *pk) { int i; assert(strlen((const char *)pk) == 25); for (i = 0; i < 25; i++) { putchar(pk[i]); if (i != 24 && i % 5 == 4) putchar('-'); } } void verify(EC_GROUP *ec, EC_POINT *generator, EC_POINT *public_key, char *cdkey) { unsigned char key[25]; int i, j, k; BN_CTX *ctx = BN_CTX_new(); // remove Dashs from CDKEY for (i = 0, k = 0; i < strlen(cdkey); i++) { for (j = 0; j < 24; j++) { if (cdkey[i] != '-' && cdkey[i] == cset[j]) { key[k++] = j; break; } assert(j < 24); } if (k >= 25) break; } // Base24_CDKEY -> Bin_CDKEY unsigned long bkey[4] = {0}; unsigned long pid[1], hash[1], sig[2]; unbase24(bkey, key); // Output Bin_CDKEY printf("%.8x %.8x %.8x %.8x ", bkey[3], bkey[2], bkey[1], bkey[0]); // Divide/Extract pid_data, hash, sig from Bin_CDKEY unpack(pid, hash, sig, bkey); print_product_id(pid); printf("PID: %.8x Hash: %.8x Sig: %.8x %.8x ", pid[0], hash[0], sig[1], sig[0]); BIGNUM *e, *s; /* e = hash, s = sig */ e = BN_new(); BN_set_word(e, hash[0]); endian((unsigned char *)sig, sizeof(sig)); s = BN_bin2bn((unsigned char *)sig, sizeof(sig), NULL); BIGNUM *x = BN_new(); BIGNUM *y = BN_new(); EC_POINT *u = EC_POINT_new(ec); EC_POINT *v = EC_POINT_new(ec); /* v = s*generator + e*(-public_key) */ EC_POINT_mul(ec, u, NULL, generator, s, ctx); EC_POINT_mul(ec, v, NULL, public_key, e, ctx); EC_POINT_add(ec, v, u, v, ctx); EC_POINT_get_affine_coordinates_GFp(ec, v, x, y, ctx); unsigned char buf[FIELD_BYTES], md[20]; unsigned long h; unsigned char t[4]; SHA_CTX h_ctx; /* h = (fist 32 bits of SHA1(pid || v.x, v.y)) >> 4 */ SHA1_Init(&h_ctx); t[0] = pid[0] & 0xff; t[1] = (pid[0] & 0xff00) >> 8; t[2] = (pid[0] & 0xff0000) >> 16; t[3] = (pid[0] & 0xff000000) >> 24; SHA1_Update(&h_ctx, t, sizeof(t)); memset(buf, 0, sizeof(buf)); BN_bn2bin(x, buf); endian((unsigned char *)buf, sizeof(buf)); SHA1_Update(&h_ctx, buf, sizeof(buf)); memset(buf, 0, sizeof(buf)); BN_bn2bin(y, buf); endian((unsigned char *)buf, sizeof(buf)); SHA1_Update(&h_ctx, buf, sizeof(buf)); SHA1_Final(md, &h_ctx); h = (md[0] | (md[1] << 8) | (md[2] << 16) | (md[3] << 24)) >> 4; h &= 0xfffffff; printf("Calculated hash: %.8x ", h); if (h == hash[0]) printf("Key valid "); else printf("Key invalid "); putchar(' '); BN_free(e); BN_free(s); BN_free(x); BN_free(y); EC_POINT_free(u); EC_POINT_free(v); BN_CTX_free(ctx); } void generate(unsigned char *pkey, EC_GROUP *ec, EC_POINT *generator, BIGNUM *order, BIGNUM *priv, unsigned long *pid) { BN_CTX *ctx = BN_CTX_new(); BIGNUM *k = BN_new(); BIGNUM *s = BN_new(); BIGNUM *x = BN_new(); BIGNUM *y = BN_new(); EC_POINT *r = EC_POINT_new(ec); unsigned long bkey[4]; // Loop in case signaturepart will make cdkey(base-24 "digits") longer than 25 do { BN_pseudo_rand(k, FIELD_BITS, -1, 0); EC_POINT_mul(ec, r, NULL, generator, k, ctx); EC_POINT_get_affine_coordinates_GFp(ec, r, x, y, ctx); SHA_CTX h_ctx; unsigned char t[4], md[20], buf[FIELD_BYTES]; unsigned long hash[1]; /* h = (fist 32 bits of SHA1(pid || r.x, r.y)) >> 4 */ SHA1_Init(&h_ctx); t[0] = pid[0] & 0xff; t[1] = (pid[0] & 0xff00) >> 8; t[2] = (pid[0] & 0xff0000) >> 16; t[3] = (pid[0] & 0xff000000) >> 24; SHA1_Update(&h_ctx, t, sizeof(t)); memset(buf, 0, sizeof(buf)); BN_bn2bin(x, buf); endian((unsigned char *)buf, sizeof(buf)); SHA1_Update(&h_ctx, buf, sizeof(buf)); memset(buf, 0, sizeof(buf)); BN_bn2bin(y, buf); endian((unsigned char *)buf, sizeof(buf)); SHA1_Update(&h_ctx, buf, sizeof(buf)); SHA1_Final(md, &h_ctx); hash[0] = (md[0] | (md[1] << 8) | (md[2] << 16) | (md[3] << 24)) >> 4; hash[0] &= 0xfffffff; /* s = priv*h + k */ BN_copy(s, priv); BN_mul_word(s, hash[0]); BN_mod_add(s, s, k, order, ctx); unsigned long sig[2] = {0}; BN_bn2bin(s, (unsigned char *)sig); endian((unsigned char *)sig, BN_num_bytes(s)); pack(bkey, pid, hash, sig); printf("PID: %.8x Hash: %.8x Sig: %.8x %.8x ", pid[0], hash[0], sig[1], sig[0]); } while (bkey[3] >= 0x62a32); base24(pkey, bkey); BN_free(k); BN_free(s); BN_free(x); BN_free(y); EC_POINT_free(r); BN_CTX_free(ctx); } int main() { // Init BIGNUM *a, *b, *p, *gx, *gy, *pubx, *puby, *n, *priv; BN_CTX *ctx = BN_CTX_new(); // make BigNumbers a = BN_new(); b = BN_new(); p = BN_new(); gx = BN_new(); gy = BN_new(); pubx = BN_new(); puby = BN_new(); n = BN_new(); priv = BN_new(); // Data from pidgen-Bink-resources /* Elliptic curve parameters: y^2 = x^3 + ax + b mod p */ BN_hex2bn(&p, "92ddcf14cb9e71f4489a2e9ba350ae29454d98cb93bdbcc07d62b502ea12238ee904a8b20d017197aae0c103b32713a9"); BN_set_word(a, 1); BN_set_word(b, 0); /* base point (generator) G */ BN_hex2bn(&gx, "46E3775ECE21B0898D39BEA57050D422A0AF989E497962BAEE2CB17E0A28D5360D5476B8DC966443E37A14F1AEF37742"); BN_hex2bn(&gy, "7C8E741D2C34F4478E325469CD491603D807222C9C4AC09DDB2B31B3CE3F7CC191B3580079932BC6BEF70BE27604F65E"); /* inverse of public key */ BN_hex2bn(&pubx, "5D8DBE75198015EC41C45AAB6143542EB098F6A5CC9CE4178A1B8A1E7ABBB5BC64DF64FAF6177DC1B0988AB00BA94BF8"); BN_hex2bn(&puby, "23A2909A0B4803C89F910C7191758B48746CEA4D5FF07667444ACDB9512080DBCA55E6EBF30433672B894F44ACE92BFA"); // Computed data /* order of G - computed in 18 hours using a P3-450 */ BN_hex2bn(&n, "DB6B4C58EFBAFD"); /* THE private key - computed in 10 hours using a P3-450 */ BN_hex2bn(&priv, "565B0DFF8496C8"); // Calculation EC_GROUP *ec = EC_GROUP_new_curve_GFp(p, a, b, ctx); EC_POINT *g = EC_POINT_new(ec); EC_POINT_set_affine_coordinates_GFp(ec, g, gx, gy, ctx); EC_POINT *pub = EC_POINT_new(ec); EC_POINT_set_affine_coordinates_GFp(ec, pub, pubx, puby, ctx); unsigned char pkey[26]; unsigned long pid[1]; pid[0] = 640000000 << 1; /* <- change */ // generate a key generate(pkey, ec, g, n, priv, pid); print_product_key(pkey); printf(" "); // verify the key verify(ec, g, pub, (char*)pkey); // Cleanup BN_CTX_free(ctx); return 0; }
=========== End