Как защитить программу от копирования без интернета?

Question

[i__egor]

Какой простой способ защитить по без интернета. ПО для организации. Нужно обеспечить: одна копия - одна организации. Ключи генерировать у себя в кейгене. К каждой копии прилагается свой внутренний ключ и ключ, который вводит организация у своей копии чтобы получить доступ

Comments

[WbICHA]

К каждой копии прилагается свой внутренний ключ и ключ, который вводит организация у своей копии чтобы получить доступ

И что мешает скопировать приложение вместе с ключом организации?

[i__egor]

WbICHA, не я буду распространять его, и организация сможет скопировать куда угодно еще. хотелось бы чтобы без этого вот

[Kentavr16]

то есть даже активация без интернета?

[Kentavr16]

наверное в такой плоскости это вопрос про обфускацию кода.

[Петр]

Активация от данных оборудования, где ставиться программа.
Активатор генерит QR с сылкой с кодом сгенеренным по оборудованию.
Пользователь сканирует с экрана QR получает код и вводит.
Сейчас мобильный инет есть почти везде, где есть офисы организаций.

[ValdikSS]

Если вы говорите про keygen, то в чём ваш вопрос? Об алгоритме генерации кода, или о том, на основе чего его генерировать, или о его отображении, или о чём-то другом?

[Adamos]

Упарываясь в защиту своего софта, стоит не забывать о покупателе.
Если у него нет интернета, значит, у него должна быть возможность взять купленную программу, взять ключ и поставить программу на произвольный компьютер. А не дозваниваться до продавца, размахивать кодами и проч.
Просто потому, что каждая минута, пока ТС не берет трубку, может оказаться для организации дороже его софтины...

[Модератор]

Не надо ставить как можно больше тэгов. Лучше оставить один, но конкретный, с которым проблема.
См.п.3.1 Регламента.

[QWERTYUIOPas]

Раскидать жизненно важные для программы файлы по всему диску. Фиг потом соберёшь, чтоб скопировать

Answer 1

[Wataru]

Никак. Единствнный способ гарантированно защититься от нелицензионного копирования - это вынести ключевую часть функционала на сервер. Любая остальная защита - лишь усложнение реверс инжениринга и взлома. Всегда можно каленым железом вырезать любую проверку ключа из исполняемого кода.

Активация ключа по телефону/интернету исключает лишь самый тривиальный способ "взлома" - просто копирование одной и той же лицензии по куче компьютеров без модификации исполняемых файлов.

А так, берете какую-нибудь крипто библиотеку, выдаете сертификат, в котором подписываете своим приватным ключем "Лицензия выдана ООО рога и копыта". В программе зашит ваш публичный ключ. Программа проверяет файл лицензии, что он подписан вашим ключем. Но любой "хакер" умнее вас просто вырежет эту проверку из программы.

Comments

[ValdikSS]

Ключевую часть функциональности можно реализовать в аппаратном донгле — будет работать без интернета. Многие современные донглы поддерживают исполнение своего кода.

[Сергей П]

Есть ещё способ, но редко где его можно успешно применить.
Можно вынести какой-нибудь часто применяемый в программе секретный алгоритм на аппаратный USB-тключ и выполнять на нём.
Но найти такой алгоритм - это целая проблема.

[Wataru]

ValdikSS, Сергей П, Да, не подумал об этом. Но это надо какую-то особо ключевую и сложную функциональность вынести в донгл. Если что-то простое выносить, можно отреверсинженирить. Да даже сложное тоже в общем-то можно. Донгл-то он не у вас на сервере код крутит, а у пользователя на столе лежит. Его и расковырять можно. Нужно что-то весьма криптостойкое и под заказ.

Это точно не "простой способ защиты", как хочет автор вопроса.

[Сергей П]

Wataru, донглы такие продаются готовые под такие вот нужды. Расковыривать их не имеет смысла, поскольку от реверсить его под микроскопом - это разрушающая операция, которая закончится скорее всего неудачей. Там есть специальные write only блоки данных.
Да, выбрать алгоритм - это самая проблематичная часть. Он должен быть не слишком требователен к скорости, потому что на донгле не шибко шустрый контроллер, он должен быть компактный и изолированный по контексту данных. В идеале это должен быть какой-то конвертер или шифровльщик\дешифровальщик. Не так много у нас обычно задач, которые нуждаются в таких алгоритмах. А если мы закодируем какие-то ресурсы так, что их нужно каждый раз декодировать донглом, то хакеры просто заранее все расшифруют и положат рядом в расшифрованном виде.

Любая защита - это компромисс между стоимостью взлома и стоимостью программы. Если программа достаточно дорогая, а взлом относительно простой и единоразовый, то сломают. То есть если это выгодно, то сломают, а если нет - не будут.
А ещё любая такая защита сама по себе требует каких-то усилий на реализацию. что повысит стоимость продукта. Важно не сделать замок на двери дороже вещей, которые он запирает.

Answer 2

[d-stream]

Организационные меры + что-нибудь типа sentinel hasp - в принципе наиболее сбалансированный комплект защиты.
Притом первая часть - немаловажная: клиент должен иметь существенные плюшки в виде поддержки и удовлетворения его хотелок, а вторая часть в виде допбонуса от пионеров.

Answer 3

[Константин Цветков]

одна копия - одна организации

Внесите атрибуты организации в исполняемый файл. Каждой организации — свой исполняемый файл.

Comments

[Adamos]

Перебор.
Достаточно внести эти атрибуты в файл данных и подписать. Без подписанного файла данных не работать.
Это вынудит покупателя быть заинтересованным в нераспространении, но не помешает ему проводить изменения в его внутренней инфраструктуре - например, если сдох винт на машине с программой, просто взять ее данные из бэкапа.
Стоимость взлома у такого решения, кстати, выше, чем у банально зашитых в файл ресурсов.

Answer 4

[CityCat4]

Нужно отталкиваться от того:
- сколько стоит ПО
- какой круг задач оно решает
- насколько вероятно его будут пиратить и в каком количестве

а уже потом думать о том, насколько сложную делать защиту. Любая защита отламывается, вопрос только в том, через сколько и с какими требованиями она будет сломана (в смысле, что нужно будет сделать, чтобы запустить сломаную копию).

Хорошим примером тут будет Sony Playstation. Здесь, казалось бы вообще все под контролем - вся платформа! Ан нет, находятся люди, которые отламывают защиту игр.

То есть, как Вы ни упарывайтесь по аппатартнвм ключам - их или отломают, или напишут эмулятор (или то и другое вместе) или еще что-то, вопрос во времени и необходимости.

Вот например программа Nakivo Backup & Replication, насколько я знаю, сломана не была. Не потому что офигенная защита. Потому что корпоративная система бэкапа мало кому нужна ломаной :)

В общем, защита Вашего творения - это последее, о чем стоит думать...

Answer 5

[ewgenc]

HASP-ключ как вариант использовать. Много достаточно дорого ПО таким методом защищается.