Мне дали задание на работе защитить программу аппаратным ключом. Но перед защитой его нужно выбрать. Нашел несколько фирм, которые предлагают различные виды ключей Guardant, HASP, Senselock. Подскажите, пожалуйста, какой ключ лучше выбрать и почему. И вообще как сложно сломать программу защищенную таким ключом?
Здравствуйте, FastS, Вы писали:
FS>Приветствую профессионалов.
FS>Мне дали задание на работе защитить программу аппаратным ключом.
Повбывав бы.
Сломать несложно. Для того же HASP'а в сети полно HASP emulator'ов для всех популярных программ.
А вот гемору эта защита создаст очень много. Да будет известно тебе и твоему начальству, что в настоящее время в сервере сложно найти дырку куда воткнуть этот HASP, кроме того, серверы все реже бывают физическими и все чаще виртуальными — и куда там втыкать аппаратный ключ?
P.S. HASP — самое популярное решение. В этом есть как плюсы, так и минусы. Плюсы — более-менее работает, более-менее поддерживается и т.п., минусы — его неплохо умеют ломать.
HASP сразу выбрасываем из гонки, потому как это ключ второго поколения. Туда же уходят и Guardant III и все сопряженные модели.
Остается SenseLock vs Guardant Code. SenseLock считается более стойким по ряду причин, начиная с исторических и заканчивая элементной базой. FS>Мне дали задание на работе защитить программу аппаратным ключом. Но перед защитой его нужно выбрать. Нашел несколько фирм, которые предлагают различные виды ключей Guardant, HASP, Senselock. Подскажите, пожалуйста, какой ключ лучше выбрать и почему. И вообще как сложно сломать программу защищенную таким ключом?
Создается впечатление что остальное не работает и не поддерживается. Что совсем не так.
На мой взгяд практически все вендоры, либо их представители, нормально поддерживают свои продукты.
DOO>P.S. HASP — самое популярное решение. В этом есть как плюсы, так и минусы. Плюсы — более-менее работает, более-менее поддерживается и т.п., минусы — его неплохо умеют ломать.
Здравствуйте, pva, Вы писали:
pva>Создается впечатление что остальное не работает и не поддерживается. Что совсем не так. pva>На мой взгяд практически все вендоры, либо их представители, нормально поддерживают свои продукты.
Чисто статистически — если у продукта больше половины рынка, то он работает стабильнее конкурентов.
Здравствуйте, FastS, Вы писали:
FS>Мне дали задание на работе защитить программу аппаратным ключом. Но перед защитой его нужно выбрать. Нашел несколько фирм, которые предлагают различные виды ключей Guardant, HASP, Senselock. Подскажите, пожалуйста, какой ключ лучше выбрать и почему. И вообще как сложно сломать программу защищенную таким ключом?
Пользовался только SenseLock, так что моё мнение будет довольно однобокое.
Нормальная степень защиты получится только если выносить части логики в ключ, а он работает капец как медленно. Поэтому далеко не всё можно вынести, что следовало бы.
... << RSDN@Home 1.1.4 stable SR1 rev. 568>>
Забанили по IP, значит пора закрыть эту страницу.
Всем пока
Если можно расскажите, пожалуйста поподробнее об этих причинах.
Здравствуйте, pva, Вы писали: pva>HASP сразу выбрасываем из гонки, потому как это ключ второго поколения. Туда же уходят и Guardant III и все сопряженные модели. pva>Остается SenseLock vs Guardant Code. SenseLock считается более стойким по ряду причин, начиная с исторических и заканчивая элементной базой. FS>>Мне дали задание на работе защитить программу аппаратным ключом. Но перед защитой его нужно выбрать. Нашел несколько фирм, которые предлагают различные виды ключей Guardant, HASP, Senselock. Подскажите, пожалуйста, какой ключ лучше выбрать и почему. И вообще как сложно сломать программу защищенную таким ключом?
А Вы сами работали с данным ключом? Что можете сказать?
Просто даже по цене HASP стоит несколько дороже, чем тот же Guardant. Действительно ли стоит переплачивать?
pva>>Создается впечатление что остальное не работает и не поддерживается. Что совсем не так. pva>>На мой взгяд практически все вендоры, либо их представители, нормально поддерживают свои продукты. DOO>Чисто статистически — если у продукта больше половины рынка, то он работает стабильнее конкурентов.
Здравствуйте, FastS, Вы писали:
FS>А Вы сами работали с данным ключом? Что можете сказать? FS>Просто даже по цене HASP стоит несколько дороже, чем тот же Guardant. Действительно ли стоит переплачивать?
Свое отношение к этой теме я высказал в первом сообщении — все это деньги на ветер. Oracle зарабатывает миллиарды, при этом весь их софт свободно скачивается с сайта (даже регистрироваться не надо) и работает без каких-либо ограничений. А аппаратный ключ — это очень серьезное снижение конкурентных преимуществ — как ты себе представляешь современную виртуализированную среду с vMotion или Live Migration и аппаратными ключами? Никак. У нас как раз недавно купили софт для видеорегистрации, который требует аппаратный ключ — теперь в серверной красуется какой-то убогий писюк специально для этой поделки.
Здравствуйте, pva, Вы писали:
pva>Здравствуйте, DOOM, Вы писали:
DOO>>P.S. А ломается все на раз. pva>Вы ошибаетесь.
Ну приведи пример хоть одной более-менее популярной программы, для которой нет кряка аппаратного ключа.
Я на вскидку могу сказать — 1С и Компас — поломано на 10 раз. Какой смысл в ключах?
FS>Мне дали задание на работе защитить программу аппаратным ключом. Но перед защитой его нужно выбрать. Нашел несколько фирм, которые предлагают различные виды ключей Guardant, HASP, Senselock. Подскажите, пожалуйста, какой ключ лучше выбрать и почему. И вообще как сложно сломать программу защищенную таким ключом?
Лет 5 назад наша компания тоже решила защищать свой софт аппаратными ключами, из того что тогда было выбрали на тесты eToken.
HASP для построения реальной системы защиты просто не приспособлен. В результате eToken нам не понравился и сейчас мы сами делаем себе аналогичные "железки".
Если вам нужна защита программы аппаратным ключом типа для галочки, там перед начальство отчитаться, в тендерах закрыть позицию, то HASP в руки и вперед. Если нужна реальная защита, которую относительно тяжело сломать, то выбор железки это первый шаг. Потом нужно строить эту самуюю защиту.
Мне нужно сделать нормальную защиту, поэтому я и задал этот вопрос здесь. А так не заморачиваясь можно было бы купить любой ключ хоть HASP, хоть Guardant и все.
Если честно, не совсем понял про выбор какой железки вы говорите?
Здравствуйте , Loooser, Вы писали:
FS>>Мне дали задание на работе защитить программу аппаратным ключом. Но перед защитой его нужно выбрать. Нашел несколько фирм, которые предлагают различные виды ключей Guardant, HASP, Senselock. Подскажите, пожалуйста, какой ключ лучше выбрать и почему. И вообще как сложно сломать программу защищенную таким ключом?
L>Лет 5 назад наша компания тоже решила защищать свой софт аппаратными ключами, из того что тогда было выбрали на тесты eToken. L>HASP для построения реальной системы защиты просто не приспособлен. В результате eToken нам не понравился и сейчас мы сами делаем себе аналогичные "железки". L>Если вам нужна защита программы аппаратным ключом типа для галочки, там перед начальство отчитаться, в тендерах закрыть позицию, то HASP в руки и вперед. Если нужна реальная защита, которую относительно тяжело сломать, то выбор железки это первый шаг. Потом нужно строить эту самуюю защиту.
Здравствуйте, DOOM, Вы писали:
DOO>Я на вскидку могу сказать — 1С и Компас — поломано на 10 раз. Какой смысл в ключах?
Сегодня как раз смотрю по программам работающим с БД. Смотрю, ГрандСмету защищенную Guardant'ом, которая стоит у нас на работе.
Да есть, ломанные версии, тоже хотели пользовать такую, но они есть всего для нескольких регионов и то часто не полнофункциональны.
Софт нашей компании не планируется использовать на виртуальных машинах, потому что непонятно зачем это делать. Поэтому фактом, что на
виртуальных не будет работать можно пренебречь.
Просто хотелось узнать, что лучше выбрать. Но пока советов, кроме SenseLock Code или Guardant Code, нету и те советы непонятно на чем
основаны. Похоже придется серьезно внимать к тему и разбираться самому.
Думаю, вы правы. Сейчас смотрю как раз SenseLock Code и Guardant Code. Хотя по наполненности и обновляемости сайта пока что Guardant мне нравится больше.
Здравствуйте, FastS, Вы писали:
FS>Мне нужно сделать нормальную защиту, поэтому я и задал этот вопрос здесь. А так не заморачиваясь можно было бы купить любой ключ хоть HASP, хоть Guardant и все. FS>Если честно, не совсем понял про выбор какой железки вы говорите?
Про выбор апаратного ключа, мы делаем свой. В общем я не думаю, что современные ключи разных производителей очень сильно отличаются друг от друга.
Здравствуйте, FastS, Вы писали:
FS>Мне нужно сделать нормальную защиту, поэтому я и задал этот вопрос здесь.
Ну и немножко про нормальную (даже хорошую) защиту в понимании нашей компании.
Есть у нас в программе где-то какая-то константа, например 2. Мы обращаемся к ключу и просим сделать подпись RSA, например, получаем ответ. Если ответ тот, который мы ожидаем то программа работает корректно, иначе происходит какой-нибудь сбой, например вместо 2 окон на экране появляется 200.
Теперь нужно:
— замаскировать вызовы функций проверки/обращения к токену
— скрыть число которое приходит на входе
— каждая проверка должна выполняться в каких-то экзотических случаях, например одна только по пятницам 13, другая только до 10:00 утра
— вместо констант использовать обычные переменные кода, которые по логике всегда имеют одинаковые значения или что-нибудь еше.
А теперь пишем штук 10000 таких проверок и добавляем еще 1000 разных обращений к токену результат, которых реально не используется в программе.
Основная задача: не дать хакеру сделать полный дамп общения с ключом. Собственно чем HASP и ломают и потенциально ломают все, что общается по Usb.
Все это создавалось лет 5 назад, возможно сейчас есть другие/лучшие решения.
Здравствуйте, Loooser, Вы писали:
L>Основная задача: не дать хакеру сделать полный дамп общения с ключом. Собственно чем HASP и ломают и потенциально ломают все, что общается по Usb.
А вот тут и начинаются проблемы.
Более того — в твоей схеме можно еще попытаться подменить сертификат в программе и сделать эмулятор со своим ключом подписи.
Здравствуйте, DOOM, Вы писали:
DOO>Ну приведи пример хоть одной более-менее популярной программы, для которой нет кряка аппаратного ключа.
Многие из програм по чип-тюнингу. Да и вообще, 95% програм, защищенных ключами с выполнением кода внутри.
А все эти хаспы, сентинелы и прочие устаревшие поделки ломают в 95% с полпинка.
