Защита программ: генерирование серийных ном., активационных etc

← →
Сергей М. © (2009-02-13 21:28) [40]

> Maacheba (13.02.09 17:03) [16]
> не подходит. Нужно уметь изменять
> условия лицензии без перевысылке ключей.

Нужно просто уметь использовать возможности ключа и соответствующего ему ПО таким образом, чтобы не пересылая ключ изменять условия лицензии.

А ты не умеешь. Но при этом ничтоже сумняшеся заявляешь о какой-то там "пересылке".

← →
KSergey © (2009-02-13 21:29) [41]

Аппаратный ключ как гарантия запуска купленной копии + ключ в виде файла, фишрованно определяющий функциональность. При смене купленой лицензии достаточно на тот же физ. аппаратный ключ сгенерить новый софтовый ключ, задающий функциональность.
По-моему это проще, чем получать ответ от пользователя про винт. Правда задиктовка по телефону все портит, но тут не понятно зачем так уж сурово. Для глухих деревень?

Но главное - это как if/then организовать.

PS
В конторе где работаю вообще тупо собирают под каждого пользователя бинари. А т.к. лицензия оговаривает кол-во обслуживаемых нашим сервером клиентов (а не функционал) - то от сборки просто зависит размер статического (именно статического!) массива, куда при работе помещаются id-сессий. Т.е. больше физически не запихать.
А на прошлой работе подобное делалось путем высылки клиенту несимметрично зашифрованного ключевого файла, туда же вшиты реквизиты покупателя - сразу видно у кого утекло если что.

← →
Maacheba (2009-02-14 12:51) [42]

Спасибо за ответы! Есть пару вопросов:

1) к чему лучше привязываться? Первоначальное указание - привязываться к ID процессора... Насколько это гудово?

Лично мне понравилась идея с винчестером. Действительно, переустановка винчестера - это переустановка системы обычно, а значит ничего страшного и еще раз активировать.

С железками я не занимался, проблемы по винчестерам озвучил, есть ли универсальный способ привязки? Ведь вариантов может быть множество - IDE винчестер, SCSI, может быть вообще рейд, там какой нафиг ID?
Да и если уж на то пошло, винчестера вообще может не быть, а грузится все с какого-нибудь сетевого накопителя... Я просто не в состоянии все предусмотреть, желательны проверенные решения.

2) если брать в качестве алгоритма RSA. Таким образом, есть открытый ключ и закрытый.
ОБЫЧНО открытым ключом шифруют, а закрытым расшифровывают. И по открытому ключу я точно знаю нереально получить в нормальные сроки закрытый ключ.

Насколько криптостойка обратная операция, то есть по известному закрытому ключу получить открытый ключ?

← →
Anatoly Podgoretsky © (2009-02-14 13:45) [43]

> Maacheba (14.02.2009 12:51:42) [42]

> желательны проверенные решения.

Жениться вам барин нужно.

← →
Медвежонок Пятачок © (2009-02-14 14:28) [44]

Насколько криптостойка обратная операция, то есть по известному закрытому ключу получить открытый ключ?

Жениться вам барин нужно.

Судя по всему жениться ему рановато. Надо паспорт получить сначала.

← →
ilkz (2009-02-14 21:25) [45]

А по-моему, гораздо проще пересмотреть бизнес-модель приложения, чем делать то, что и так рано или поздно взломают (если оно и будет того стоить)...

← →
ilkz (2009-02-14 21:26) [46]

Придумайте другой способ получить деньги с клиента, чем ключ (каким бы крутым он не был). Уверяю вас, что таких способов навалом.

← →
Юрий Зотов © (2009-02-14 23:10) [47]

> ilkz (14.02.09 21:25) [45]

Как Вы совершенно справедливо заметили, если программа стоит взлома, то взломана она будет. Но таких программ сравнительно немного, гораздо чаще нужна защита не от взломщика, а от недобросовестного юзера. А для этого описанный выше способ (привязка к железу с регистрацией ключа у дистрибьютора) вполне подходит.

← →
Медвежонок Пятачок © (2009-02-14 23:17) [48]

юридически (если вдруг дойдет до разборок) это будет выглядеть ничтожно.

лицензию приобретает физ\юр. лицо, а не железо.
у лица, а не у железа может быть лицензия на использование ПО.
так что вся эта привязка-повязка - децтво

← →
Maacheba (2009-02-14 23:27) [49]

это точно, мировые бренды типа microsoft и oracle до сих пор из детства выйти не могут. Считаю, что им нужно обратиться к винни-пуху.

← →
Дмитрий Белькевич © (2009-02-15 00:27) [50]

>да это копейки стоит. Но не подходит. Нужно уметь изменять условия лицензии без перевысылке ключей.

В чем проблема? Меняется без вопросов. И счетчики всякие есть, и таблицы лицензий (если один ключ сразу на несколько софтов, либо в одном открывающий разные фичи), и слать физически ничего не нужно. Число-запрос, число-ответ, и всё.

>это точно, мировые бренды типа microsoft и oracle до сих пор из детства выйти не могут.

Когда вы будете владеть мировым брендом, тогда и будете защищать софт, как Майкрософт.

Вообще, например, Филипс, Сименс, Агфа - для вас мировые бренды? Так вот, могу сказать, что они вполне не гнушаются софт ключами и "далласовскими таблетками" защищать.

← →
Германн © (2009-02-15 01:39) [51]

> Юрий Зотов © (14.02.09 23:10) [47]
>
> > ilkz (14.02.09 21:25) [45]
>
> Как Вы совершенно справедливо заметили, если программа стоит
> взлома, то взломана она будет. Но таких программ сравнительно
> немного, гораздо чаще нужна защита не от взломщика, а от
> недобросовестного юзера. А для этого описанный выше способ
> (привязка к железу с регистрацией ключа у дистрибьютора)
> вполне подходит.
>

Как сотрудник (на сей момент внештатный) техподдержки своей конторы - я против таких советов!
Давай оставим этот сабж на усмотрение Розыча и Макса. Они реально этим вопросом профессионально занимаются!

← →
Юрий Зотов © (2009-02-15 01:52) [52]

> Германн © (15.02.09 01:39) [51]

> Как сотрудник... техподдержки своей конторы - я против таких советов!

А в чем проблемы?

> Давай оставим этот сабж на усмотрение Розыча и Макса.
> Они реально этим вопросом профессионально занимаются!

У них продукт как раз из той серии, что стоит взлома, поэтому и защита ему нужна другая - и от юзера, и от хакера. В сабже, насколько я понял, речь идет вовсе не о таком продукте, там вполне хватит защиты от юзера.

← →
Германн © (2009-02-15 02:39) [53]

> Юрий Зотов © (15.02.09 01:52) [52]

>
> А в чем проблемы?
>
:)

← →
Хитрий Лис (2009-02-15 11:33) [54]

Небольшое дополнение... поясню на примере:

1. Припустим наша организация хочет купить 20 лицензий вашего ПО для двадцати своих пользователей.

2. Структура системы такая
а) 50 машин - персоналки с Win XP
б) 50 машин - терминалки с WinSrv 2003 (нетбут, винтов нет)
в) 20 машин - персоналки с Linux + Wine (не хватило лицензий на винду)

3. При этом 100 виндовых машин в домене, и по правилам безопасности профиль пользователя чиститься от исполняемых файлов, т.е. только документы.

4. Для пользователя любая машина практически прозрачна (есть небольшие ньюансы с Linux-машинами, вместо загрузки доменного профиля монтируется домашняя папка с документами). Пользователи могут свободно переходить с одной машины на другую не сильно теряя в функционале.

Как сделать привязку к пользователю ? Ваши действия ?

← →
Хитрий Лис (2009-02-15 11:38) [55]

Еще один пример:

Ваше ПО ставиться на виртуалку, получается ключ и виртуалка множится 100 раз.

Действия защиты в этом случае ?

← →
Maacheba (2009-02-15 13:11) [56]

Спасибо всем за ответы! Остались вопросы:

1) к чему лучше привязываться? насколько грамотно привязываться к ID процессора?

Насчет привязки к винчестверу - ведь вариантов может быть множество - IDE винчестер, SCSI, может быть вообще RAID-массив, там как? Есть универсальные способы, кто-нибудь реально делал привязку к железу?

2) в алгоритме RSA насколько криптостойка операция получения ключа шифрации, если известен ключ дешифрации?

← →
Anatoly Podgoretsky © (2009-02-15 13:22) [57]

> Maacheba (15.02.2009 13:11:56) [56]

Ключ для шифрации - это открытый ключ.

← →
ilkz (2009-02-15 16:08) [58]

Вот хоть зарежьте меня, но я твердо уверен в том, что ЛЮБОЕ число или данное (ID, номер, что-то еще), которое можно получить ПРОГРАММНО (а ведь именно так получаются эти самые ID, номера, etc) - можно точно так же программно сымитировать. Т.е., написать программку (кряк, патч, как угодно), которая будет эмулировать нужную железку и подсовывать вашей софтине номер.

Далее. Ни для кого не секрет, что в фирму с количеством_компов>1 покупается ОДНИН лицензионный экземпляр, и ставится на ВСЕ компы в организации )) Что будете делать в таком случае? Вместо 100 человек вам заплатит 1.

Последнее время вообще считаю что программы защищать особого смысла нет. Все равно сломают. К тому же, если ваша программа столь уникальна, значит и обычных юзеров у нее не будет на 99.999%. Следовательно, профессиональные юзеры всегда могут написать таблетку.

← →
ilkz (2009-02-15 16:11) [59]

Платить стоит в том и только в том случае, если для пользователя действительно актуальна техподдержка вашего софта. И если вы даете качественную поддержку. Тогда да, можно и заплатить. А все остальные случаи сосут, извиняюсь за выражение...

← →
@!!ex © (2009-02-15 16:13) [60]

> 2) в алгоритме RSA насколько криптостойка операция получения
> ключа шифрации, если известен ключ дешифрации?

Сильно криптостойкий.
Если уж доверяют электронные документы, то уж копию программы можно спокойной доверить.
По сути узнать закрытый ключ зная открытый - нельзя.

← →
@!!ex © (2009-02-15 16:20) [61]

> [59] ilkz (15.02.09 16:11)

Ваша логика сосет, извиняюсь за выражение...

Плата за техподдержку - это отдельная услуга.
То что ВЫ и ВАША фирма нагло воруете софт, это проблема ВАС и ВАШЕЙ фирмы.
Нормальные люди покупают софт, который используют, или не используют.

← →
ilkz (2009-02-15 16:45) [62]

Не, в моей фирме такого, слава Богу, не наблюдается ))

← →
@!!ex © (2009-02-15 17:13) [63]

> [62] ilkz (15.02.09 16:45)

Тогда прошу меня извинить, но пропагандировать пиратство не стоит аде если вы сами не пират. :)

← →
Eraser © (2009-02-15 17:22) [64]

тут сильно не дооценивают защиту с помощью активации. даже без аппаратных ключей. тот же последний радмин уже более полу года не могут взломать, только триал-стоп сделали. главное грамотная реализация.

← →
ilkz (2009-02-15 17:25) [65]

> Тогда прошу меня извинить,

Все нормально ))
Кстати. Вот пришел в голову такой вариант получения денег с клиентов. Сразу скажу, что вряд ли он пригодится для крупного проекта.
Значит, основная идея такова:
Есть прога. Она абсолютно свободная и доступная. Никаких защит в ней нет. Однако, со временем, безусловно, появляются апдейты, фиксы и прочее. Вот тут-то и есть возможность подзаработать. Делается так: разработчиком программы устанавливается конечная сумма (допустим, 100 рублей). До пользователей каким-либо образом доводится о наличии готового (это важно) апдейта. ОДнако, доступен он станет только после сбора указанной суммы (100 рублей). Для каждого пользователя нет конкретного требования - пускай он заплатит столько, сколько сочтет нужным. Как только сумма будет собрана, обновление становится доступным.

Чем хорош такой вариант?
Ненадобность защиты.
Каждый может заплатить столько, сколько сочтет нужным.
Чем больше у программы пользователей, тем меньше им придется платить.
И тем быстрее, вероятно, будет собираться конечная сумма. Само собой, что сумма дифференцирована по отношению к "важности" апдейтов.

Чем плох такой вариант?
Не исключено, что сумма может собираться довольно долго. Особенно на начальных этапах.
Могут возникнуть трудности с корпоративными клиентами. Но тут для них можно установить свою, фиксированную сумму.

Вот. Покритикуйте, пожалуйста.

← →
Eraser © (2009-02-15 17:28) [66]

> [65] ilkz (15.02.09 17:25)

> Чем хорош такой вариант?

ничем. если программа будет востребованна эти "засекреченные" обновления можно будет скачать с рубоарда.

кто хочет (вынужден) использовать лицензионный софт, тот его будет использовать. кто не хочет - того не заставишь. более того, пока будешь заставлять - отпугнешь потенциальных клиентов.

← →
ilkz (2009-02-15 17:29) [67]

Фишка в том, что апдейты никуда не выкладываются до тех пор, пока не будет собрана сумма.

← →
Eraser © (2009-02-15 17:31) [68]

> [67] ilkz (15.02.09 17:29)

как сумму определять будешь?

вообще читай предыдущее сообщение.

← →
ilkz (2009-02-15 17:33) [69]

Вот с определением суммы может быть трудность. Нужно подходить к этому обоснованно.

И что в предыдущем посте? Тем, кому нужна лицензия - будут ее покупать, не спорю.

← →
ilkz (2009-02-15 17:39) [70]

Кстати, моя идея не нова. Помню, википедия таким образом собирала (кажется, 6 лямов $) на благотворительность или что-то в таком духе...

> Тем, кому нужна лицензия - будут ее покупать, не спорю.

ну и к чему тогда все эти извращения с накоплением сумм? )

← →
ilkz (2009-02-15 17:42) [72]

> Сразу скажу, что вряд ли он пригодится для крупного проекта.

Читали?

Эти извращения были вызваны желанием подзаработать на небольшом, но полезном приложении. Не более того. ))

> [72] ilkz (15.02.09 17:42)

т.е. подзаработать 100р. или целую 1000 ? ) не лучше ли сделать полезный софт donate-ware (тех кто пожертвовал N-ую сумму к примеру могут оставить ссылку на свой сайт на вашем сайте), а если/когда обретет популярность, то перевести в shareware или сделать платные версии?

> [73] Eraser © (15.02.09 17:45)

Ну вот сейчас есть софтина, которая используется в некоторых проектах. софтина уникальная(аналогов не видел, поэтому и написал). Хочу ее выложить в инете, чтобы народ пользовался.
Две проблемы:
1) Довольно специфичная целевая аудиторя. Ее относительно не много.(По моим прикидкам во всем мире может с 1000 человек)
2) Как ее комерциализировать в дальнейшем - непонятно. Естественно сейчас можно выкладывать только фри, иначе народ просто не "распробует". А потом первести в комерцию - проблематично, т.к. как то серьезно улучшить, чтобы за это захотели заплатить - не получится. Разве что рюшки навешать, но ЦА - профессионалы, которым рюшки по барабану.

> [74] @!!ex © (15.02.09 18:14)

> Естественно сейчас можно выкладывать только фри

далеко не факт. для этого и придуман shareware, чтобы можно было попробовать. мое мнение - freeware это хороший вариант для раскрутки не корпоративного и не специализированного софта, т.е. который особых денег не принесет, если программа не самая популярная или не в хотя бы 5 самых популярных в этом жанре.

← →
Maacheba (2009-02-15 18:20) [76]

@!!ex © (15.02.09 16:13) [60]
Сильно криптостойкий.
Если уж доверяют электронные документы, то уж копию программы можно спокойной доверить.
По сути узнать закрытый ключ зная открытый - нельзя.

повторю в пятый раз: насколько криптостойка операция получения ключа шифрации по известному ключу дешифрации? Это - ОБРАТНЫЙ ПРОЦЕСС.

Я не спрашиваю о криптостойкости получения ключа ДЕШИФРАЦИИ по известному ключу шифрации - понятное дело, это операция защищена, она везде и используется. У меня же если будет - то обратный процесс. Надеюсь, в шестой раз повторять не надо будет...

← →
ilkz (2009-02-15 18:23) [77]

> Ну вот сейчас есть софтина, которая используется в некоторых
> проектах. софтина уникальная(аналогов не видел, поэтому
> и написал). Хочу ее выложить в инете, чтобы народ пользовался.
>
> Две проблемы:
> 1) Довольно специфичная целевая аудиторя. Ее относительно
> не много.(По моим прикидкам во всем мире может с 1000 человек)
> 2) Как ее комерциализировать в дальнейшем - непонятно. Естественно
> сейчас можно выкладывать только фри, иначе народ просто
> не "распробует". А потом первести в комерцию - проблематично,
> т.к. как то серьезно улучшить, чтобы за это захотели заплатить
> - не получится. Разве что рюшки навешать, но ЦА - профессионалы,
> которым рюшки по барабану.

Вот и у меня абсолютно та же ситуация.

← →
ilkz (2009-02-15 18:27) [78]

> т.е. подзаработать 100р. или целую 1000 ? ) не лучше ли
> сделать полезный софт donate-ware (тех кто пожертвовал N-
> ую сумму к примеру могут оставить ссылку на свой сайт на
> вашем сайте), а если/когда обретет популярность, то перевести
> в shareware или сделать платные версии?

Понимаете в чем дело... Мне кажется, что чем заставить 10 человек отдать мне по 100 рублей, гораздо быстрее и проще будет заставить отдать 1000 человек по рублю. Тут чистая психология работает ))) Ведь для каждого отдельного клиента это будет почти бесплатно. Соответственно, и мотивация к оплате будет выше. Особенно, если клиент знает чего он получит (можно же предоставить подробное описание того, за что будет оплата).

Насчет ссылок - плати не плати, а ссылки все равно оставлять будут. Это никак не проконтролируешь.

А шаровару, опять же, крякнут ))) Ну мы ж в России живем, коллеги )))

> [76] Maacheba (15.02.09 18:20)

Чукча не читатель, или просто не знает что такое электронная подпись?
Электронная подпись, это когда ключ ШИФРАЦИИ закрытый, ключ ДЕШИФРАЦИИ - открытый.
Шифрование открытого канала, это когда передается открытый ключ ШИФРАЦИИ, а ключ ДЕШИФРАЦИИ - закрытый.
Надеюсь еще раз повторять не придется?

> [78] ilkz (15.02.09 18:27)

Этот вариант не прокатит.
Врядли кто-то захочет платить деньги за то, что фактически от него не зависит.
1) Если я плачу, я хочу сразу получить результат. А тут надо ждать.
2) Будут просто ждать, когда кто нибудь другой заплатит.

Ну и просто странно получается, разработчику выгодно создавать кривой софт, чтобы потом клепать на него багфиксы..

Защита программ: генерирование серийных ном., активационных etc Найти похожие ветки