Возможно ли создать безошибочную идентификацию устройства?

Question

[jane_k]

Дано:
Приложение одинаково работающее как на Win так и на Android. Приложение отправляет на сервер запрос с идентификатором устройства, далее сервер должен каким-либо образом проверить не изменен ли код приложения, поскольку его можно декомпилировать и вместо рассчитанного идентификатор отправить готовый, стыреный с другой машины идентификатор. Проще говоря привязка по интернету. Далее, после идентификации, на устройство будет отправлено HelloWorld.

Вопрос:
Какие есть варианты гарантировать что идентификатор действительно был программно сгенерирован а не подставлен?(подразумевается декомпиляция и замена рассчета идентификатора на готовый идентификатор с другого устройства) Виртуалки не в счет, допустим приложение будет устанавливаться вручную каждому пользователю, но далее контроля над устройством не будет.

Язык программирования не имеет значения, важно понять логику.

Answer 1

[rPman]

Скрытый приватный ключ в специальном чипе на устройстве.

Пример такого устройства - sim-карта, или специальный чип в смартфонах iphone и некоторых android, содержит секретный ключ, вытащить который невозможно, имеет чип, позволяющий шифровать данные этим ключом (асимметричные алгоритмы шифрования). Сервер может проверить что данные зашифрованы верным ключом.

https://en.wikipedia.org/wiki/Hardware_security_module

https://developer.android.com/training/articles/ke... - если аппаратного хранилища нет, его предоставит операционная система, это не так надежно но все же стоимость взлома высокая
https://developer.apple.com/documentation/security...
https://social.technet.microsoft.com/wiki/contents...
и т.п.

Для windows стандарта не придумали, да и устройства по умолчанию не поставляются. Для intel можно конечно покопаться, инструменты проприетарные есть, используются для хранения ключей oem и т.п. но эти инструменты обычно используются производителем железа (ноутбука) и скорее всего уже залочены.

Для десктопных машин используется практика usb hasp ключа, или usb ключ представляющийся в системе как клавиатура и генерирующий time code (коды, привязанные ко времени, например как google authenticator), сами устройства дешевые, уникальные, можно найти специальные программируемые (секретный ключ можно записать один раз и отправить клиенту), стоят не дорого (дороже доставка).

https://en.wikipedia.org/wiki/YubiKey

Comments

[jane_k]

Спасибо, скорее всего это именно то что нужно.

Answer 2

[d-stream]

Ответ: никаких.

Comments

[jane_k]

Ну как же, можно же что-то придумать)

[d-stream]

jane_k, ну разве что по принципу нигерийского вируса - положить рядом с кодом литералы с текстом "пожалуйста не подделывайте")

Ну или рассчитывать на концепцию неуловимого джо

[jane_k]

На самом деле вопрос вот к чему. Веб приложение, доступ логин-пароль. Произошла утечка важных данных, доступ к которым имеется только у администратора Васи. Однако Вася клянется что не воровал :) Руководитель же требует что бы была 100% гарантия что утечка произошла именно с устройства Васи, который не имеет статического ip.
Далее было принято решение писать приложения win+Android, однако и здесь тупик, потому что нельзя гарантировать что приложения будут запущены ТОЛЬКО на девайсах Васи... из этой ситуации вообще есть выход? :)

[d-stream]

jane_k, ну можно продать руководителю сверхдорогую DLP-систему, нанять и покатать по тренингам службу безопасности... на оставшиеся деньги - купить подарочный экземпляр "золотого теленка" и вложить закладку на странице где написано
" - Полное спокойствие может дать человеку только страховой полис,
- ответил Остап, не замедляя хода. - Так вам скажет любой агент по страхованию жизни. Лично мне вы больше не нужны. Вот государство, оно, вероятно, скоро вами заинтересуется."

Answer 3

[GavriKos]

В случае клиентского кода гарантировать - невозможно. Можно усложнить задачу настолько, что взлом потеряет смысл ибо будет дороже получаемого профита.