[GF2-inlined]: http://latex.codecogs.com/svg.latex?%5Cinline%20%5Ctextrm%7BGF%7D%282%29 [GF2p15-inlined]: http://latex.codecogs.com/svg.latex?%5Cinline%20%5Ctextrm%7BGF%7D%282%5E%7B15%7D%29 [GF2p15p17-inlined]: http://latex.codecogs.com/svg.latex?%5Cinline%20%5Ctextrm%7BGF%7D%28%282%5E%7B15%7D%29%5E%7B17%7D%29 [A-inlined]: http://latex.codecogs.com/svg.latex?%5Cinline%20A [B-inlined]: http://latex.codecogs.com/svg.latex?%5Cinline%20B [D-inlined]: http://latex.codecogs.com/svg.latex?%5Cinline%20D [G-inlined]: http://latex.codecogs.com/svg.latex?%5Cinline%20G [M-inlined]: http://latex.codecogs.com/svg.latex?%5Cinline%20M [P-inlined]: http://latex.codecogs.com/svg.latex?%5Cinline%20P [h-inlined]: http://latex.codecogs.com/svg.latex?%5Cinline%20h [k-inlined]: http://latex.codecogs.com/svg.latex?%5Cinline%20k [l-inlined]: http://latex.codecogs.com/svg.latex?%5Cinline%20l [n-inlined]: http://latex.codecogs.com/svg.latex?%5Cinline%20n [r-inlined]: http://latex.codecogs.com/svg.latex?%5Cinline%20r [s-inlined]: http://latex.codecogs.com/svg.latex?%5Cinline%20s [T-inlined]: http://latex.codecogs.com/svg.latex?%5Cinline%20T [UU-inlined]: http://latex.codecogs.com/svg.latex?%5Cinline%20U [LL-inlined]: http://latex.codecogs.com/svg.latex?%5Cinline%20L [Rnd-inlined]: http://latex.codecogs.com/svg.latex?%5Cinline%20Rnd [Temp-inlined]: http://latex.codecogs.com/svg.latex?%5Cinline%20Temp [UID-inlined]: http://latex.codecogs.com/svg.latex?%5Cinline%20UID [Data-inlined]: http://latex.codecogs.com/svg.latex?%5Cinline%20Data [Data0-inlined]: http://latex.codecogs.com/svg.latex?%5Cinline%20Data%5E0 [Data1-inlined]: http://latex.codecogs.com/svg.latex?%5Cinline%20Data%5E1 [Data2-inlined]: http://latex.codecogs.com/svg.latex?%5Cinline%20Data%5E2 [Data3-inlined]: http://latex.codecogs.com/svg.latex?%5Cinline%20Data%5E3 # "rarreg.key"是如何生成的？ WinRAR 使用了基于 ECC 的签名算法来生成 `rarreg.key` 文件，其使用的签名算法是中国 SM2 数字签名算法的变体。与各种标准 ECDSA 不同的是，WinRAR 使用的椭圆曲线是一个基于复合域 ![GF2p15p17-inlined] 上的曲线。 ## 1. 复合域 ![GF2p15p17-inlined] 基域 ![GF2p15-inlined] 采用标准基（多项式基）来表达，采用的不可约多项式为：

$P(\alpha)=\alpha^{15}+\alpha+1$

各项系数全部位于 ![GF2-inlined]。设基域的标准基为：

$B_1=\{1,\alpha,\alpha^2,\ldots,\alpha^{14}\}$ 则位于基域 ![GF2p15-inlined] 上的元素 ![A-inlined] 可以用如下方式表达：

$A=\sum_{i=0}^{14}a_i\alpha^i \quad \quad \quad a_i\in\textrm{GF}(2)$ --- 复合域 ![GF2p15p17-inlined] 的不可约多项式为：

$Q(\beta)=\beta^{17}+\beta^3+1$ 各项系数全部位于 ![GF2p15-inlined]。设复合域的标准基为：

$B_2=\{1,\beta,\beta^2,\ldots,\beta^{16}\}$ 则位于复合域 ![GF2p15p17-inlined] 上的元素 ![B-inlined] 可以用如下方式表达：

$B=\sum_{j=0}^{16}(\sum_{i=0}^{14}a_{j,i}\alpha^i)\beta^j=\sum_{j=0}^{16}\sum_{i=0}^{14}a_{j,i}\alpha^i\beta^j \quad \quad \quad a_{j,i}\in\textrm{GF}(2)$ --- 为了方便表述我们用255比特的大数 ![D-inlined] 来表示位于复合域 ![GF2p15p17-inlined] 上的元素 ![B-inlined]。它们的对应关系为：

$B=\sum_{j=0}^{16}\sum_{i=0}^{14}a_{j,i}\alpha^i\beta^j \leftrightarrow D=\sum_{j=0}^{16}\sum_{i=0}^{14}a_{j,i}\cdot 2^{15j+i}$ ## 2. 复合域 ![GF2p15p17-inlined] 上的椭圆曲线曲线方程为：

$y^2+xy=x^3+161 \quad \quad \quad 161\in\textrm{GF}((2^{15})^{17})$ 基点 ![G-inlined] 为：

$\begin{aligned} G&=(G_x,G_y) \\ G_x&=\textrm{0x56fdcbc6a27acee0cc2996e0096ae74feb1acf220a2341b898b549440297b8cc} \quad G_x\in\textrm{GF}((2^{15})^{17})\\ G_y&=\textrm{0x20da32e8afc90b7cf0e76bde44496b4d0794054e6ea60f388682463132f931a7} \quad G_y\in\textrm{GF}((2^{15})^{17}) \end{aligned}$ 基点 ![G-inlined] 的阶 ![n-inlined] 为：

$n=\textrm{0x1026dd85081b82314691ced9bbec30547840e4bf72d8b5e0d258442bbcd31} \quad n\in\nolinebreak\mathbb{Z}$ ## 3. 消息哈希算法设长度为 ![l-inlined] 的消息为：

$M=m_0m_1 \ldots m_{l-1} \quad \quad m_i\in[0, 256)$ 则消息 ![M-inlined] 的SHA1值为：

$\textrm{SHA}_1(M)=S_0||S_1||S_2||S_3||S_4 \quad \quad S_i\in[0, 2^{32})$ 其中 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20S_0%2CS_1%2CS_2%2CS_3%2CS_4) 为SHA1算法输出时的5个状态值；将这5个状态值按照大端字节序依次输出，即为的SHA1哈希值 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20%5Ctextrm%7BSHA%7D_1%28M%29)。 WinRAR在做完SHA1计算后，采用大数 ![h-inlined] 作为ECC签名时消息的哈希：

$h=(\sum_{i=0}^{4}S_i \cdot 2^{32i})+\textrm{0x1bd10xb4e33c7c0ffd8d43} \cdot 2^{32*5}$ ## 4. ECC签名算法设私钥为 ![k-inlined]，公钥为 ![P-inlined]，即：

$P=k \cdot G$ 消息哈希为 ![h-inlined]，则签名 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20%28r%2Cs%29) 为： 1. 生成随机数 ![Rnd-inlined]，满足 ![](http://latex.codecogs.com/svg.latex?%5Cinline%200%3CRnd%3Cn)。 2. 计算 ![r-inlined]

$r=((Rnd \cdot G)_x+h)\ \ Mod\ \ n$

其中 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20%28Rnd%20%5Ccdot%20G%29_x) 表示取 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20Rnd%20%5Ccdot%20G) 的X坐标，同时将X坐标从 ![GF2p15p17-inlined] 转换为大数。若 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20r%3D0) 或者 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20r+Rnd%3Dn) 则回到步骤1。 3. 计算 ![s-inlined]

$s=(Rnd-kr)\ \ Mod\ \ n$

若 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20s%3D0) 则回到步骤1。 4. 输出 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20%28r%2Cs%29)。 ## 5. WinRAR的私钥生成算法该算法会利用长度为 ![l-inlined] 的数据

$T=t_0t_1 \ldots t_{l-1} \quad \quad t_i\in[0,256)$

来生成私钥 ![k-inlined]。 1. 设6个32位整数为 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20g_0%2Cg_1%2Cg_2%2Cg_3%2Cg_4%2Cg_5)，则有

$g_j=\sum_{i=0}^{3}g_{j,i} \cdot 2^{8i} \quad \quad g_{j,i}\in[0,256)$

2. 令 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20g_0%3D0)。 3. 如果 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20l%5Cneq%200) 则计算 ![T-inlined] 的SHA1值，并将状态值 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20S_i) 赋值给 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20g_%7Bi+1%7D)：

$\begin{aligned} \textrm{SHA}_1(T)&=S_0||S_1||S_2||S_3||S_4 \\ g_1&=S_0 \\ g_2&=S_1 \\ g_3&=S_2 \\ g_4&=S_3 \\ g_5&=S_4 \\ \end{aligned}$

否则，即 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20l%3D0) 时，令：

$\begin{aligned} g_1&=\textrm{0xeb3eb781} \\ g_2&=\textrm{0x50265329} \\ g_3&=\textrm{0xdc5ef4a3} \\ g_4&=\textrm{0x6847b9d5} \\ g_5&=\textrm{0xcde43b4c} \\ \end{aligned}$

4. 把 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20g_0) 作为计数器，自增1。计算SHA1值：

$\textrm{SHA}_1(g_{0,0}||g_{0,1}||g_{0,2}||g_{0,3}||g_{1,0}||g_{1,1}||\ldots||g_{5,0}||g_{5,1}||g_{5,2}||g_{5,3})=S_0||S_1||S_2||S_3||S_4$

取 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20S_0) 的低16位并记为 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20k_%7Bg_0%7D)。 5. 步骤4再重复14次。 6. 重复执行完后会得到 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20k_1%2Ck_2%2Ck_3%2C%5Cldots%2Ck_%7B15%7D)，则输出私钥

$k=\sum_{i=1}^{15}k_i \cdot 2^{16i}$

## 6. WinRAR的公钥和私钥 WinRAR的私钥 ![k-inlined] 为：

$k=\textrm{0x59fe6abcca90bdb95f0105271fa85fb9f11f467450c1ae9044b7fd61d65e} \quad \quad k\in\nolinebreak\mathbb{Z}$

该私钥是通过算法5生成的，其中数据 ![T-inlined] 的长度为0。公钥 ![P-inlined] 为：

$\begin{aligned} P&=(P_x,P_y) \\ P_x&=\textrm{0x3861220ed9b36c9753df09a159dfb148135d495db3af8373425ee9a28884ba1a} \quad P_x\in\textrm{GF}((2^{15})^{17}) \\ P_y&=\textrm{0x12b64e62db43a56114554b0cbd573379338cea9124c8443c4f50e6c8b013ec20} \quad P_y\in\textrm{GF}((2^{15})^{17}) \end{aligned}$

## 7. 授权文件"rarreg.key"的生成授权文件的生成需要两个参数： 1. 用户名的ANSI字符串，不包括null-terminator；记为

$U=u_0u_1 \ldots u_{l-1}$

2. 授权类型的ANSI字符串，不包括null-terminator；记为

$L=l_0l_1 \ldots l_{l-1}$

`rarreg.key` 的生成算法如下： 1. 使用用户名 ![UU-inlined] 通过算法5计算出私钥 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20k_U) 以及公钥 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20P_U)，并将公钥 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20P_U) 按照SM2压缩公钥格式以Hex字符串（ASCII编码）的形式输出。得到的Hex字符串记为临时值 ![Temp-inlined]。 ![Temp-inlined] 的长度应该为64；若长度不足，则在前面补字符`'0'`，直到长度为64。 2. 令字符串 ![Data3-inlined]为

$Data^3=\texttt{"60"}||Temp_0||Temp_1||\ldots||Temp_{47}$

3. 使用 ![Data3-inlined] 通过算法5计算出私钥 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20k_%7BData%5E3%7D) 以及公钥 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20P_%7BData%5E3%7D)，并将公钥 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20P_%7BData%5E3%7D) 按照SM2压缩公钥格式以Hex字符串（ASCII编码）的形式输出。得到的Hex字符串记为 ![Data0-inlined]。 ![Data0-inlined] 的长度应该为64；若长度不足，则在前面补字符`'0'`，直到长度为64。 4. 令字符串 ![UID-inlined]为

$UID=Temp_{48}||Temp_{49}||\ldots||Temp_{63}||Data^0_0||Data^0_1||Data^0_2||Data^0_3$

5. 对授权类型 ![LL-inlined] 使用算法4得到签名 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20%28r_L%2Cs_L%29)，其中私钥见第6节。要求 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20r_L) 和 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20s_L) 的长度都不得超过240比特，否则重复该步骤。 6. 将 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20r_L) 和 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20s_L) 以16进制形式输出（无`"0x"`前缀），分别记为 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20SZ%5E%7Br_L%7D) 和 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20SZ%5E%7Bs_L%7D)。若长度不满60，则在前面补字符`'0'`，直到长度为60。 7. 令字符串 ![Data1-inlined]为

$Data^1=\texttt{"60"}||SZ^{s_L}||SZ^{r_L}$

8. 令字符串 ![Temp-inlined]为

$Temp=U||Data^0$

对 ![Temp-inlined] 使用算法4得到签名 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20%28r_%7BTemp%7D%2Cs_%7BTemp%7D%29)，其中私钥见第6节。要求 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20r_%7BTemp%7D) 和 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20s_%7BTemp%7D) 的长度都不得超过240比特，否则重复该步骤。 9. 将 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20r_%7BTemp%7D) 和 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20s_%7BTemp%7D) 以16进制形式输出（无`"0x"`前缀），分别记为 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20SZ%5E%7Br_%7BTemp%7D%7D) 和 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20SZ%5E%7Bs_%7BTemp%7D%7D)。若长度不满60，则在前面补字符`'0'`，直到长度为60。 10. 令字符串 ![Data2-inlined]为

$Data^2=\texttt{"60"}||SZ^{s_{Temp}}||SZ^{r_{Temp}}$

11. 对

$L||U||Data^0||Data^1||Data^2||Data^3$

计算CRC32值，最终校验和为CRC32值的反。将校验和以10进制形式输出，若长度不满10，则在前面补字符`'0'`，直到长度为10，记为 ![](http://latex.codecogs.com/svg.latex?%5Cinline%20SZ%5E%7Bchecksum%7D)。 12. 令字符串 ![Data-inlined]为

$Data=Data^0||Data^1||Data^2||Data^3||SZ^{checksum}$

13. 格式化输出。 * 固定文件头`"RAR registration data"`，占一行。 * 用户名，占一行。 * 授权类型，占一行。 * UID，占一行：

$\texttt{"UID="}||UID$

* 将 ![Data-inlined] 按照每行54个字符输出。