V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
a33291
V2EX  ›  问与答

jetbrains 的 privatekey 泄露了?

  •  
  •   a33291 · 2022-08-05 17:57:45 +08:00 · 1404 次点击
    这是一个创建于 866 天前的主题,其中的信息可能已经有所发展或是发生改变。
    纯讨论

    偶尔会用到 jetbrains 家的 webstorm,所以会在网上找下 licensekey 临时用一下.
    然后网上有公众号(而且好几个)一直在定时更新 jetbrains 全家桶的激活码,当前 license 验证机制都是非对称算法实现的,按说只要他自己 privatekey 不泄露,别人生成的注册码应该是无法通过签名校验(前提不修改程序内置的 publickey),那么疑问是,难道这些人获取到了 privatekey?
    5 条回复    2022-08-06 14:54:00 +08:00
    RatioPattern
        1
    RatioPattern  
       2022-08-05 18:49:33 +08:00
    RSA 不是完全不能破解,很早之前就有人批量跑 512 位 RSA 的,现在算力疯涨,是有可能的
    a33291
        2
    a33291  
    OP
       2022-08-05 20:30:59 +08:00
    @RatioPattern 是一种可能,但是我个人认为这个概率还是比较低的.
    诚然总算力不低,但是普通人能调动的非常少(或者说能调用这些资源耗费的代价可能比直接买正版还高)

    早期学习逆向,就发现有些程序会内置密码 /数据库链接等敏感数据,虽然混淆加密,但是不完全可靠,按说这种大厂应该不会犯这种低级错误.
    不知道有没有大佬了解个中奥秘,非常好奇
    RatioPattern
        3
    RatioPattern  
       2022-08-05 23:40:40 +08:00
    @a33291 仔细看了下你里面并没有提到需要输入信息到公众号,是否公众号是不需要提供任何信息直接下发激活码的?这个可能是企业购买的比如 zf 专供批量装机版的激活码?
    a33291
        4
    a33291  
    OP
       2022-08-06 11:33:53 +08:00
    @RatioPattern 的确,他是无需提供任何信息,公众号输入关键字就回复一个激活码下载 url,是一个文本文件,内涵激活码,复制就可用,只是用人多了之后会被官方 ban 掉.

    他每天都会变,激活码不相同.我又找了一下资料,jet 官方其实也提供了一个离线激活的"license server",没有仔细分析这个逻辑,有一定可能 privatekey 在这个离线激活 server 里,然后有人逆向分析出来了.

    你提到的这个也是一个可能,之前没想到.之前我看 v2 上有人提到 x 乎有人在卖 56 一个的正版授权账号,这种就是利用的教育授权,但是利用的人多了之后邮箱会被 ban 掉.
    ysc3839
        5
    ysc3839  
       2022-08-06 14:54:00 +08:00 via Android
    有一说一,WinRAR 的私钥是泄漏了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1866 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 16:19 · PVG 00:19 · LAX 08:19 · JFK 11:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.