"rarreg.key"是如何生成的？ - Sunset 的重构博客

来源

WinRAR 使用了基于 ECC 的签名算法来生成 rarreg.key 文件，其使用的签名算法是中国 SM2 数字签名算法的变体。与各种标准 ECDSA 不同的是，WinRAR 使用的椭圆曲线是一个基于复合域 $GF2p15p17-inlined$ 上的曲线。

1. 复合域 $GF2p15p17-inlined$

基域 $GF2p15-inlined$ 采用标准基（多项式基）来表达，采用的不可约多项式为：

$P(\alpha)=\alpha^{15}+\alpha+1$

各项系数全部位于 $GF2-inlined$ 。设基域的标准基为：

$B_1=\{1,\alpha,\alpha^2,\ldots,\alpha^{14}\}$

则位于基域 $GF2p15-inlined$ 上的元素 $A-inlined$ 可以用如下方式表达：

$A=\sum_{i=0}^{14}a_i\alpha^i \quad \quad \quad a_i\in\textrm{GF}(2)$

复合域 $GF2p15p17-inlined$ 的不可约多项式为：

$Q(\beta)=\beta^{17}+\beta^3+1$

各项系数全部位于 $GF2p15-inlined$ 。设复合域的标准基为：

$B_2=\{1,\beta,\beta^2,\ldots,\beta^{16}\}$

则位于复合域 $GF2p15p17-inlined$ 上的元素 $B-inlined$ 可以用如下方式表达：

$B=\sum_{j=0}^{16}(\sum_{i=0}^{14}a_{j,i}\alpha^i)\beta^j=\sum_{j=0}^{16}\sum_{i=0}^{14}a_{j,i}\alpha^i\beta^j \quad \quad \quad a_{j,i}\in\textrm{GF}(2)$

为了方便表述我们用 255 比特的大数 $D-inlined$ 来表示位于复合域 $GF2p15p17-inlined$ 上的元素 $B-inlined$ 。它们的对应关系为：

$B=\sum_{j=0}^{16}\sum_{i=0}^{14}a_{j,i}\alpha^i\beta^j \leftrightarrow D=\sum_{j=0}^{16}\sum_{i=0}^{14}a_{j,i}\cdot 2^{15j+i}$

2. 复合域 $GF2p15p17-inlined$ 上的椭圆曲线

曲线方程为：

$y^2+xy=x^3+161 \quad \quad \quad 161\in\textrm{GF}((2^{15})^{17})$

基点 $G-inlined$ 为：

$\begin{aligned} G&=(G_x,G_y) \\ G_x&=\textrm{0x56fdcbc6a27acee0cc2996e0096ae74feb1acf220a2341b898b549440297b8cc} \quad G_x\in\textrm{GF}((2^{15})^{17})\\ G_y&=\textrm{0x20da32e8afc90b7cf0e76bde44496b4d0794054e6ea60f388682463132f931a7} \quad G_y\in\textrm{GF}((2^{15})^{17}) \end{aligned}$

基点 $G-inlined$ 的阶 $n-inlined$ 为：

$n=\textrm{0x1026dd85081b82314691ced9bbec30547840e4bf72d8b5e0d258442bbcd31} \quad n\in\nolinebreak\mathbb{Z}$

3. 消息哈希算法

设长度为 $l-inlined$ 的消息为：

$M=m_0m_1 \ldots m_{l-1} \quad \quad m_i\in[0, 256)$

则消息 $M-inlined$ 的 SHA1 值为：

$\textrm{SHA}_1(M)=S_0||S_1||S_2||S_3||S_4 \quad \quad S_i\in[0, 2^{32})$

其中 $S_0,S_1,S_2,S_3,S_4$ 为 SHA1 算法输出时的 5 个状态值；将这 5 个状态值按照大端字节序依次输出，即为的 SHA1 哈希值 $\textrm{SHA}_1(M)$ 。

WinRAR 在做完 SHA1 计算后，采用大数 $h-inlined$ 作为 ECC 签名时消息的哈希：

$h=(\sum_{i=0}^{4}S_i \cdot 2^{32i})+\textrm{0x1bd10xb4e33c7c0ffd8d43} \cdot 2^{32*5}$

4. ECC 签名算法

设私钥为 $k-inlined$ ，公钥为 $P-inlined$ ，即：

$P=k \cdot G$

消息哈希为 $h-inlined$ ，则签名 $(r,s)$ 为：

生成随机数 $Rnd-inlined$ ，满足 $0<Rnd<n$ 。
计算 $r-inlined$
$r=((Rnd \cdot G)_x+h)\ \ Mod\ \ n$
其中 $(Rnd \cdot G)_x$ 表示取 $Rnd \cdot G$ 的 X 坐标，同时将 X 坐标从 $GF2p15p17-inlined$ 转换为大数。
若 $r=0$ 或者 $r+Rnd=n$ 则回到步骤 1。
计算 $s-inlined$
$s=(Rnd-kr)\ \ Mod\ \ n$
若 $s=0$ 则回到步骤 1。
输出 $(r,s)$ 。

5. WinRAR 的私钥生成算法

该算法会利用长度为 $l-inlined$ 的数据

$T=t_0t_1 \ldots t_{l-1} \quad \quad t_i\in[0,256)$

来生成私钥 $k-inlined$ 。

设 6 个 32 位整数为 $g_0,g_1,g_2,g_3,g_4,g_5$ ，则有
$g_j=\sum_{i=0}^{3}g_{j,i} \cdot 2^{8i} \quad \quad g_{j,i}\in[0,256)$
令 $g_0=0$ 。
如果 $l\neq 0$ 则计算 $T-inlined$ 的 SHA1 值，并将状态值 $S_i$ 赋值给 $g_{i+1}$ ：
$\begin{aligned} \textrm{SHA}_1(T)&=S_0||S_1||S_2||S_3||S_4 \\ g_1&=S_0 \\ g_2&=S_1 \\ g_3&=S_2 \\ g_4&=S_3 \\ g_5&=S_4 \\ \end{aligned}$
否则，即 $l=0$ 时，令：
$\begin{aligned} g_1&=\textrm{0xeb3eb781} \\ g_2&=\textrm{0x50265329} \\ g_3&=\textrm{0xdc5ef4a3} \\ g_4&=\textrm{0x6847b9d5} \\ g_5&=\textrm{0xcde43b4c} \\ \end{aligned}$
把 $g_0$ 作为计数器，自增 1。
计算 SHA1 值：
$\textrm{SHA}_1(g_{0,0}||g_{0,1}||g_{0,2}||g_{0,3}||g_{1,0}||g_{1,1}||\ldots||g_{5,0}||g_{5,1}||g_{5,2}||g_{5,3})=S_0||S_1||S_2||S_3||S_4$
取 $S_0$ 的低 16 位并记为 $k_{g_0}$ 。
步骤 4 再重复 14 次。
重复执行完后会得到 $k_1,k_2,k_3,\ldots,k_{15}$ ，则输出私钥
$k=\sum_{i=1}^{15}k_i \cdot 2^{16i}$

6. WinRAR 的公钥和私钥

WinRAR 的私钥 $k-inlined$ 为：

$k=\textrm{0x59fe6abcca90bdb95f0105271fa85fb9f11f467450c1ae9044b7fd61d65e} \quad \quad k\in\nolinebreak\mathbb{Z}$

该私钥是通过算法 5 生成的，其中数据 $T-inlined$ 的长度为 0。

公钥 $P-inlined$ 为：

$\begin{aligned} P&=(P_x,P_y) \\ P_x&=\textrm{0x3861220ed9b36c9753df09a159dfb148135d495db3af8373425ee9a28884ba1a} \quad P_x\in\textrm{GF}((2^{15})^{17}) \\ P_y&=\textrm{0x12b64e62db43a56114554b0cbd573379338cea9124c8443c4f50e6c8b013ec20} \quad P_y\in\textrm{GF}((2^{15})^{17}) \end{aligned}$

7. 授权文件"rarreg.key"的生成

授权文件的生成需要两个参数：

用户名的 ANSI 字符串，不包括 null-terminator；记为
$U=u_0u_1 \ldots u_{l-1}$
授权类型的 ANSI 字符串，不包括 null-terminator；记为
$L=l_0l_1 \ldots l_{l-1}$

rarreg.key 的生成算法如下：

使用用户名 $UU-inlined$ 通过算法 5 计算出私钥 $k_U$ 以及公钥 $P_U$ ，并将公钥 $P_U$ 按照 SM2 压缩公钥格式以 Hex 字符串（ASCII 编码）的形式输出。得到的 Hex 字符串记为临时值 $Temp-inlined$ 。
$Temp-inlined$ 的长度应该为 64；若长度不足，则在前面补字符'0'，直到长度为 64。
令字符串 $Data3-inlined$ 为
$Data^3=\texttt{"60"}||Temp_0||Temp_1||\ldots||Temp_{47}$
使用 $Data3-inlined$ 通过算法 5 计算出私钥 $k_{Data^3}$ 以及公钥 $P_{Data^3}$ ，并将公钥 $P_{Data^3}$ 按照 SM2 压缩公钥格式以 Hex 字符串（ASCII 编码）的形式输出。得到的 Hex 字符串记为 $Data0-inlined$ 。
$Data0-inlined$ 的长度应该为 64；若长度不足，则在前面补字符'0'，直到长度为 64。
令字符串 $UID-inlined$ 为
$UID=Temp_{48}||Temp_{49}||\ldots||Temp_{63}||Data^0_0||Data^0_1||Data^0_2||Data^0_3$
对授权类型 $LL-inlined$ 使用算法 4 得到签名 $(r_L,s_L)$ ，其中私钥见第 6 节。
要求 $r_L$ 和 $s_L$ 的长度都不得超过 240 比特，否则重复该步骤。
将 $r_L$ 和 $s_L$ 以 16 进制形式输出（无"0x"前缀），分别记为 $SZ^{r_L}$ 和 $SZ^{s_L}$ 。
若长度不满 60，则在前面补字符'0'，直到长度为 60。
令字符串 $Data1-inlined$ 为
$Data^1=\texttt{"60"}||SZ^{s_L}||SZ^{r_L}$
令字符串 $Temp-inlined$ 为
$Temp=U||Data^0$
对 $Temp-inlined$ 使用算法 4 得到签名 $(r_{Temp},s_{Temp})$ ，其中私钥见第 6 节。
要求 $r_{Temp}$ 和 $s_{Temp}$ 的长度都不得超过 240 比特，否则重复该步骤。
将 $r_{Temp}$ 和 $s_{Temp}$ 以 16 进制形式输出（无"0x"前缀），分别记为 $SZ^{r_{Temp}}$ 和 $SZ^{s_{Temp}}$ 。
若长度不满 60，则在前面补字符'0'，直到长度为 60。
令字符串 $Data2-inlined$ 为
$Data^2=\texttt{"60"}||SZ^{s_{Temp}}||SZ^{r_{Temp}}$
对
$L||U||Data^0||Data^1||Data^2||Data^3$
计算 CRC32 值，最终校验和为 CRC32 值的反。将校验和以 10 进制形式输出，若长度不满 10，则在前面补字符'0'，直到长度为 10，记为 $SZ^{checksum}$ 。
令字符串 $Data-inlined$ 为
$Data=Data^0||Data^1||Data^2||Data^3||SZ^{checksum}$
格式化输出。
- 固定文件头"RAR registration data"，占一行。
- 用户名，占一行。
- 授权类型，占一行。
- UID，占一行：
  $\texttt{"UID="}||UID$
- 将 $Data-inlined$ 按照每行 54 个字符输出。