Aktivaci Windows nemáme rádi, přestože o ní víme velmi málo: Aktivace Windows Vista a Server 2008 pod drobnohledem.
V rámci aktivního boje proti pirátství zavedl Microsoft již s nástupem Windows XP povinnost aktivace svých produktů. Nedá se jednoznačně říci, zda toto opatření má nějaký efekt, je to však poměrně pravděpodobné. Dovedu si představit, že existují lidé, které peripetie spojené s obcházením aktivace obtěžují natolik, že těch pár tisíc za operační systém raději dají. Sám mezi ně ostatně patřím. Na druhou stranu jako legitimní uživatel softwaru (nejen) Microsoftu se cítím být aktivací obtěžován. Nikdy nepřinesla nic dobrého.
V ideálním případě funguje hladce (a tehdy škodí pouze ztrátou času), v horších případech nefunguje vůbec a nastává dlouhý a otravný výslech po telefonu spojený s přepisováním mnoha desítek čísel. Ke cti Microsoftu zde slouží, že se snaží eliminovat falešně pozitivní odhalení pirátských instalací a místo odmítnutí aktivace operátoři častěji její stav bez obtíží resetují a povolí ji i bez ohledu na to, že uživatelovy odpovědi při výslechu nebyly pravdivé.
Aktivace jako taková byla vždy tak trochu obestřena tajemstvím. Až několik let po vydání Windows XP bylo jasno, jak vlastně probíhá, co se při ní děje a proč se systém čas od času deaktivuje. S Windows Vista a Windows Server 2008 však přichází nový model aktivace. A většina předchozích znalostí je samozřejmě k ničemu. Microsoft však v tomto týdnu vydal podrobný dokument rozebírající novinky v aktivaci obou nových operačních systémů. Jaká je pravda o aktivaci?
Podle údajů firmy bylo až 35 procent veškerého softwaru v roce 2006 nainstalováno nelegálně. Ztráty se celosvětově odhadují na 40 miliard dolarů. Microsoft proto s nezmenšenou intenzitou pokračuje v investicích do technologií zabezpečujících jeho produkty před softwarovým pirátstvím.
Podnikové edice
Aktivaci vyžadují všechny edice a verze operačních systémů Windows Vista a Windows Server 2008. Oproti Windows XP se tak rozsah povinných aktivací zvětšil i na kopie pořízené pod hromadnými licencemi. Jde o pochopitelný krok, neboť zneužívání Windows XP Corporate Edition, která nevyžadovala aktivaci, bylo a je asi nejrozšířenější formou pirátství na předchozí generaci Windows.
Multilicenční instalace není třeba aktivovat po internetu proti serverům Microsoftu, jakož ani nemusí být potřeba před aktivací zadávat produktový klíč. Microsoft firmám poskytuje dvě možnosti použití hromadných licencí. Instalovat lze s tzv. Multiple Activation Key, čili produktovým klíčem, který umožní aktivaci na více různých počítačích zároveň. Ve větších firmách pak lze aktivovat proti službě Key Management Service, což je v lokální síti spuštěný aktivační server. Klientské stanice tak pro aktivaci nemusí mít přístup k internetu.
OEM aktivace
Až osmdesát procent OEM licencí je prodáváno jako předaktivované. Zbytek musí uživatel aktivovat přímo u Microsoftu stejně jako u plných krabicových verzí (FPP). Předaktivovaný software může být výrobci nabízen ve dvou podobách. Nejčastěji využívanou možností je vazba systému na specifickou informaci v BIOSu počítače. Pokud Windows vyhodnotí, že na daném BIOSu mají být aktivována, aktivaci již dále nevyžadují.
Tato metoda není nijak závislá na hardwaru, který tak může být zcela libovolně měněn; a to včetně základní desky. Alespoň tak dlouho, dokud bude v novém BIOSu stejná aktivační informace OEM výrobce. V případě, že aktivační informace v BIOSu není, nebo je neplatná, systém si normálně řekne o aktivaci, přičemž odmítnutím internetové aktivace vynutí kontakt uživatele se zákaznickou linkou Microsoftu.
Na tomto způsobu aktivace je založen jeden z dosud nejúspěšnějších způsobů cracknutí protipirátských bezpečnostních mechanizmů ve Windows Vista. Crackeři používají pro falešnou aktivaci emulaci BIOSu (data získaná ze skutečných BIOSů počítačů velkých výrobců), který obsahuje potřebné informace.
Druhou možností předaktivování Windows výrobcem počítače je aktivace provedená stejným způsobem, jaký by použil i koncový uživatel - tedy klasicky online. V případě tohoto typu aktivace (bez ohledu na to, kdo jej provedl, což stejně Microsoft nemá, jak zjistit) se aktivace chová, jako by šlo o krabicovou verzi systému.
Aktivace krabicových (FPP) verzí
Obě metody aktivace jsme v tomto článku již zmínili. Aktivace po telefonu spočívá v nadiktování instalačního ID operátorovi zákaznické linky Microsoftu. Operátor následně nadiktuje zpět aktivační kód pro Windows. Instalační ID v sobě kombinuje hash produktového klíče použitého při instalaci a hash získaný z hardwarové konfigurace počítače. Instalační ID (v češtině ID produktu) je unikátní pro každou instalaci. V systému jej lze najít v ovládacím panelu Systém.
![sshot-2007-11-09-[6].png](https://1291668043.rsc.cdn77.org/GetThumbNail.aspx?id_file=9738&width=399&height=73&q=100 "sshot-2007-11-09-[6].png")
Hash hardwaru při telefonické aktivaci je osmibajtový řetězec získaný hashem deseti různých hardwarových parametrů počítače. Algoritmus používaný pro získání tohoto hashe je jednosměrný, Microsoft tedy z hashe nemůže zpětně zjistit hardwarovou konfiguraci počítače. Pro samotnou aktivaci se navíc používá vždy jen část řetězce, ten se totiž aktivačnímu serveru nikdy neodesílá celý.
Nemožnost reverzování algoritmu nezajišťuje nějaký složitý matematický výpočet, nýbrž jednoduché ořezání informací o hardwaru. Pokud tedy má procesor počítače sériové číslo dlouhé 96 bitů, algoritmus z něj vypočte 128 bitů dlouhý hash, avšak pro tvorbu hashe pro aktivaci z něj použije pouze prvních šest bitů, z nichž Microsoft nedokáže rozšifrovat původní sériové číslo procesoru. Již jednoduchá matematika postačí k tomu, abychom zjistili, že do šesti bitů se vejde pouze 64 různých hodnot. To je pak pochopitelně počet všech variací hashů, jež může Microsoft získat ze všech procesorů na světě. Relativně malé množství možných výsledých hashů samozřejmě vede k možnosti, že stejný aktivační hash hardwaru zároveň získá více počítačů naráz.
Při výpočtu hashe se berou v úvahu dvě speciality, které by mohly stav aktivace nepříznivě ovlivňovat. Jsou jimi sběrnice PCMCIA a možnost počítače pracovat v dokovací stanici. V obou případech může být pravidelně přidáván či odebírán hardware, což by mohlo vést ke změnám stavu aktivace. PCMCIA a podpora dokovací stanice jsou proto výpočtem aktivačního hashe ignorovány.
Při telefonní aktivaci je potřebný hash zobrazen uživateli jako padesátibajtový identifikátor. Ten je třeba nadiktovat operátorovi, který naopak nadiktuje zpět dvaačtyřicetibajtový aktivační kód. Oba kódy jsou složené pouze z čísel.
| Hardware, z nějž se vypočítává aktivační hash při telefonické aktivaci | Počet bitů |
| ID BIOSu | 6 |
| Vyjímatelný HW: Síťová karta, CD-ROM, zvuková karta, SCSI řadič, IDE řadič | 1 bit za každý (5) |
| MAC adresa síťové karty | 10 |
| CD-ROM | 7 |
| IDE řadič | 4 |
| Verze hashovacího algoritmu | 3 |
| Zvuková karta | 6 |
| Sériové číslo fyzického disku, na němž je nainstalován operační systém | 7 |
| SCSI řadič | 5 |
| Grafická karta | 5 |
| Procesor | 3 |
| Rozsah velikosti RAM (0 - 512 MB, 512 - 1024 MB atd.) | 3 |
| Podpora dokovací stanice | 3 |
Při online aktivaci je množství odesílaných informací větší. Za každou položku tohoto seznamu se posílají rovné dva Bajty. Ani to ale nestačí pro identifikaci hardwaru. Paranoici však zřejmě sáhnou po bezpečnější telefonické aktivaci.
Online aktivace může být provedena buď automaticky, kdy se systém pokusí aktivovat tři dny po instalaci (pokud tuto volbu uživatel při instalaci zaškrtl), případně ručně na žádost uživatele. V každém případě se informace Microsoftu předávají zabezpečené pomocí SSL.
Při aktivaci se odešle produktový klíč, hash hardwaru a požadavek na aktivaci. Celkem jde o přesně 262 Bajtů dat. Stejné údaje plus žádost o registraci produktu a žádost o strukturu certifikátu PKCS10 se odesílají v dalším kroku. Zde se velikost přenosu pohybuje mezi 2 763 a 3 000 Bajty. Na konec systém obdrží ID svého certifikátu, datum vystavení a chybový kód. 126 Bajtů. Jak z již uvedeného plyne, online aktivace je potvrzena tím, že server předá uživateli jeho elektronický certifikát. Ten je Microsoftem digitálně podepsán, nehrozí tedy možnost podvržení či zneužití. Serverem předaná data mají objem přibližně devíti Kilobajtů.
Proces ověřování aktivace
Windows Vista a Server 2008 ověřují stav aktivace po každém spuštění počítače. Kontroluje se, zda aktuální hardware odpovídá tomu, na němž byl systém aktivován. Tato kontrola se nespouští pouze v již výše popsaném případě, kdy OEM systém najde potřebnou informaci v BIOSu počítače.
Každá z kontrolovaných komponent počítače má pro stav aktivace svou váhu. Zjištěné hodnoty systém sečte a pokud je odchylka od aktivovaného stavu příliš velká, deaktivuje se. Pro online aktivace se váha jednotlivých komponent čas od času mění v závislosti na aktuální situaci mezi uživateli. Microsoft se přizpůsobuje, aby uživatele deaktivace pokud možno neobtěžovaly. Aktuální hodnoty pro online aktivaci Microsoft nezveřejňuje. Jsou součástí jeho boje proti pirátství, zároveň ale odráží aktuální situaci na trhu hardwarem.
U telefonických aktivací je možné měnit hodnotu jednotlivých komponent pouze spolu s programovým kódem operačního systému. Poslední změna tak proběhla ve Windows Vista, v nichž už například výměna pevného disku nevyvolá nutnost reaktivace, jako tomu bylo u Windows XP. Microsoft toiž vyhodnotil, že většina těchto reaktivací byla zákazníky zdůvodněna výměnou disku kvůli jeho selhání či zvýšení kapacity.
Možnost deaktivace se samozřejmě týká i hromadných licencí. Aktivace Multiple Activation Key využívá pro vyhodnocování stavu aktivace stejné postupy jako licence pro koncové zákazníky (FPP), Windows aktivovaná proti Key Management Service vyžadují reaktivaci pouze v případě výměny pevného disku.
Výměna stejné komponenty provedená několikanásobně (například výměna několika grafických karet po sobě) je vždy považována pouze za jednu změnu a do váhy změněných komponent se tudíž počítá jen jednou (systém totiž porovnává aktuální stav se stavem při aktivaci, s ničím mezi tím). Podobně je zacházeno i s hardwarem, který při aktivaci nebyl zapojen. Ani ten systém nedeaktivuje. Změna základní desky naproti tomu deaktivuje systém vždy (kromě OEM aktivací vázaných na BIOS). Počet instalací na stejný nebo mírně změněný hardware může být omezen na pět. Pokud po šesté instalaci neprojde online aktivace, je potřeba nechat stav aktivace resetovat na zákaznické lince (provést aktivaci po telefonu). Tím uživatel získá dalších pět možností online.
