Здравствуйте, FastS, Вы писали:

FS>Просто хотелось узнать, что лучше выбрать. Но пока советов, кроме SenseLock Code или Guardant Code, нету и те советы непонятно на чем
FS>основаны. Похоже придется серьезно внимать к тему и разбираться самому.
Ну как бы не зная что у вас там за софт, что именно в нём является наиболее ценным с точки зрения защиты и т.п. трудно вообще хоть что либо советовать.

Как по мне так в самом правильном направлении двигаются защиты наподобие senselock: выполнение защищаемых алгоритмов в ключе. Самая большая их беда — крайне малая скорость работы ключа в сравнении с современными middle end десктопными процами.

Здравствуйте, DOOM, Вы писали:

DOO>1. Не бывает абсолютной защиты — ты отдал программу во враждебную среду, там ее рано или поздно вскроют.
Верно.

DOO>2. Для популярной программы неважно сколько времени будет затрачено на кряк — 100 часов или 1000 часов. Все равно по истечению этого времени программу сможет поставить любой желающий и затраты на взлом per инсталляция уменьшаются до смешных величин — стоило ли тратить деньги на такую защиту?
Дык цены на тот же SenseLock вообще смешные.

DOO>Может эффективнее было бы реализовать работающую схему контроля использования и судебного преследования пользователей-нелегалов?
Как бы это в наших реалиях ИМХО ещё сложнее. Ты их сначала отлови.

Здравствуйте, pva, Вы писали:

pva>>>Многие из програм по чип-тюнингу. Да и вообще, 95% програм, защищенных ключами с выполнением кода внутри.
DOO>>Приведи хоть одно конкретное наименование. Только не какого-нибудь неуловимого Джо, а реально популярной программы. А я попробую найти сходу для нее кряк.
pva>Держи

О, Senselock
Судя по описалову, продукту не надо ацкий performance так что в dongle можно запихать чуть ли не всё, кроме GUI разумеется.
Ломать это ультрагемор, по сути равносильно написанию аналогичной софтины.
DOOM, удачи!

Здравствуйте, DOOM, Вы писали:

pva>>Да нету никаких подвижек. Все в итоге упирается в анализ черного ящика по входам и выходам. А это достаточно нетривиальная задача.
DOO>Утверждается, что китайцы готовы за 10-30 килобаксов сделать.
Ну как бы достаточно проблематично снять дамп со смарта с EAL5+

pva>>Чтобы поставить прошивку от ключа ее сначала снять нужно.
DOO>Ссылки, правда уже битые, попадаются — это что?
Трудно сказать, неизвестно что там было по ссылке.
Судя по тому, что ссылка на fw update то там лежит зашифрованное обновление прошивки. В случае с Senselock это скорее всего Electonic Envelope с RSA 1024 + какой нибудь симметрик, приватный ключ от которой лежит в самом ключе. Сам такое обновление делал, пытаться как либо ломать его просто бесполезно. Разве что брутфорсом но для этого нужен known plaintext.

pva>>А это равносильно снятию прошивок с смарт-карт. Очень дорого и в итоге практически бессмысленно.
DOO>Гы. Это с современной Java карты дорого?
Как ты можешь догадаться это сильно разные карты по исполнению.

Здравствуйте, DOOM, Вы писали:

DOO>>>Утверждается, что китайцы готовы за 10-30 килобаксов сделать.
pva>>Давайте отделим мух от котлет. Между утверждается и сделали огромная разница. "Китайцы готовы" — это как "британские ученые доказали".
DOO>Да я и не спорю... Но мне как-то накладно пытаться проверить
Ну как бы для EALS4 оценки стойкости в районе $300K, для EALS5 должны быть повыше.

pva>>>>Чтобы поставить прошивку от ключа ее сначала снять нужно.
DOO>>>Ссылки, правда уже битые, попадаются — это что?
pva>>Я не экстрасенс. Не знаю что там Вам попадается.
DOO>Ну ты ж руборд упомянул — там тема болтается. Есть дистрибутив и ссылка на прошивку ключа. Я, кстати, делаю ставку, что именно там таблетка появится.
Она там с 2003го года всё никако не появится, если верить поиску.

DOO>>>Гы. Это с современной Java карты дорого?
pva>>Про java-card никто не говорил.
DOO>Ну это все современные смарт карты, на самом деле. С точки зрения управления очень удобно.
Не все, далеко не все.

Здравствуйте, Loooser, Вы писали:

L>>>Лет 5 назад наша компания тоже решила защищать свой софт аппаратными ключами, из того что тогда было выбрали на тесты eToken.
_>>Etoken предназначен для аутентификации и абсолютно не подходит для защиты. Увольте того, кто делал выбор.

L>Нам просто нужна была смарткрта, которая может генерить "ответ на наш вопрос". Мы ей число, она нам ответ полученный с помощью приватного ключа, зашитого в нее. Это все что нам нужно и eToken это умеет.
А проверять этот ответ как? Надо либо иметь копию правильного ответа либо публичный ключ для проверки.

Здравствуйте, Loooser, Вы писали:

L>Из того что помню, корректность данных вроде бы производится проверкой ЭЦП. И из за этого был конфуз, коллега обещал что когда защита будет готова, можно будет всем исходники раздать и никто ничего не сделает (хотели что-то только на ключе сделать). На практике оказалось, что в исходниках все-таки сидит информация, которая все сломает.
Ну, понятно. Защита у вас получилась типичная для новичков.

L>И может быть публичный ключ надо тоже вставлять в программу 100500 мест в разных видах...
Это не очень добавит защиты.

Здравствуйте, Banned by IT, Вы писали:

BBI>Здравствуйте, Loooser, Вы писали:

L>>>>Лет 5 назад наша компания тоже решила защищать свой софт аппаратными ключами, из того что тогда было выбрали на тесты eToken.
_>>>Etoken предназначен для аутентификации и абсолютно не подходит для защиты. Увольте того, кто делал выбор.

L>>Нам просто нужна была смарткрта, которая может генерить "ответ на наш вопрос". Мы ей число, она нам ответ полученный с помощью приватного ключа, зашитого в нее. Это все что нам нужно и eToken это умеет.
BBI>А проверять этот ответ как? Надо либо иметь копию правильного ответа либо публичный ключ для проверки.

Копию правильного ответа сверяем.

Здравствуйте, pva, Вы писали:

pva>Подумайте сами, если б все было так просто, почему мы не слышым громких дел о краже денег с банковских счетов с помощью клонированных смарт-карт.
Ну во-первых, никто не говорит, что всё просто.
А громких дел нет, потому как скорее всего часто стоят лимиты на разовые/дневные операции и прочее, поэтому особо много не добудешь. Это дешево в реализации и в массах страхует от некоторых багов.
Да и вообще в этом бизнесе всё немного по другому — тут цель деньги заработать, а не сделать систему максимально защищенной или идеальной. Если платёжная система (и банк-эмитент) дорожит своей репутацией, то она сама будет возмещать свои концептуальные и технические "несовершенности". Виза тому хороший пример — у них часть дохода резервируется и самое главное тратится именно на покрытие потерь, как часть бизнес процесса, и в их масштабах — это очень большие суммы. Хотят заработать больше? — вот и совершенствуют свою систему. Потери в любом случае могут быть, ввиду того, что риски не ограничиваются только картами.

Здравствуйте, Loooser, Вы писали:

BBI>>А проверять этот ответ как? Надо либо иметь копию правильного ответа либо публичный ключ для проверки.
L>Копию правильного ответа сверяем.
Ouch!
Ещё круче.
Можно делать эмуль вообще ни с чем не заморачиваясь.

Здравствуйте, Loooser, Вы писали:

L>И может быть публичный ключ надо тоже вставлять в программу 100500 мест в разных видах...
Не поможет. Это же порядка 1024 бит уникальной последовательности — легко обнаружить все вхождения.

Здравствуйте, pva, Вы писали:

pva>Чтобы поставить прошивку от ключа ее сначала снять нужно. А это равносильно снятию прошивок с смарт-карт. Очень дорого и в итоге практически бессмысленно.

Не знаю что там у смарт-карт стоит внутри, но прошивка из залоченных МК считывается. Цены озвучивались порядка 5000 евро.

Здравствуйте, enji, Вы писали:

E>Не знаю что там у смарт-карт стоит внутри, но прошивка из залоченных МК считывается. Цены озвучивались порядка 5000 евро.
Вы путаете ширпотреб и специализированные изделия. Хотя, тот же хасп использует ширпотребные контроллеры. За что собственно и расплачивается.

Спасибо за ответ. Решил взять демо комплекты SenseLock и Guardant, чтобы потестировать ключи в реальной работе.

FS>>Думаю, вы правы. Сейчас смотрю как раз SenseLock Code и Guardant Code. Хотя по наполненности и обновляемости сайта пока что Guardant мне нравится больше.
pva>Собственно, частые обновления Guardant связаны как раз с историческими причинами. Ключ вышел на рынок где-то с год назад и активно копирует фичи основного конкурента. Судя по тому что у них опубликовано на сайте, активно догоняют SenseLock.

Здравствуйте, enji, Вы писали:

E>Не знаю что там у смарт-карт стоит внутри, но прошивка из залоченных МК считывается. Цены озвучивались порядка 5000 евро.
Посмотрел что там у Guardant Code за чип. Обычный ширпотреб. Так что по защищенности он проигрывает SenseLock.
В остальном, у каждого свои плюсы и минусы.