Защита от пиратства с использованием аппаратного решения на базе USB
Я хочу защитить свой продукт Java с помощью некоторого решения для аутентификации и управления паролями на основе USB, которое вы можете купить здесь: aladdin Это означает, что вам нужно подключить USB-накопитель со специальным программным обеспечением, прежде чем вы сможете запустить свое приложение.
Я хотел бы привести здесь некоторый опыт пользователей, которые использовали подобное оборудование.
- Это так безопасно, как кажется?
- Общие сведения: Сколько денег вы потратите на защиту программного обеспечения, которое будет продаваться 100 раз?
Я запутываю свой Java-код и сохраняю некоторые пользовательские настройки ОС в зашифрованном файле, который лежит где-то на жестком диске. Я не хочу заставлять пользователя делать онлайн-регистрацию, потому что интернет не нужен для приложения.
Спасибо
Комментарий: компания, в которой я работаю, использует Wibu уже более 5 лет.
9 ответов
Пожалуйста, просто не надо. Продайте свое программное обеспечение по цене, которая соответствует его стоимости, с базовой ключевой схемой, если вам нужно, чтобы честные люди были честными, и оставьте это при этом. Пираты всегда украдут его, а аппаратный ключ просто вызовет горе у ваших честных клиентов.
Кроме того, любая схема, которую вы строите, будет просто побеждена реверс-инжинирингом; если вы испытываете боль от использования вашего программного обеспечения, вы будете мотивировать честных людей побеждать его или искать в Интернете трещину. Просто сделайте защиту менее болезненной, чем поиск трещины.
Хотя мой взгляд на эту тему заключается в том, чтобы не использовать такие схемы защиты от пиратства, я могу дать вам несколько советов, поскольку мы использовали такое решение в прошлом. В частности, мы использовали токены Aladdin.
Это решение с точки зрения безопасности является довольно надежным, поскольку оно есть в вашей системе, либо у вас его нет. Это не то, что вы можете легко переопределить, при условии, что ваш код также безопасен.
С другой стороны, мы столкнулись с проблемой, которая заставила нас отказаться от аппаратного токена. Наше приложение представляет собой веб-приложение для интрасети (т.е. веб-приложение, работающее в локальной интрасети клиента, а не размещенное решение), и довольно часто клиенты хотели развернуть наше приложение на блейд-серверах или даже на виртуальных серверах, где они не имели USB порты!
Поэтому, прежде чем выбрать такое решение, примите во внимание такие факторы.
Просто чтобы добавить доказательства тому, что говорит SoftDeveloper. В области недорогого программного обеспечения защита контрпродуктивна. Аналогично для большого объема.
Тем не менее, наш источник дохода - это продукт, который продается за £10-25K за пользовательскую лицензию. Подавляющее большинство наших потребителей очень стараются соблюдать требования - крупные корпорации, и для некоторых из них мы продали неограниченное количество незащищенных продуктов.
Однако в прошлом у нас были доказательства того, что при использовании небольшими компаниями для краткосрочного использования предпринимались попытки сломать защиту. Когда вы теряете £100K+ за инцидент, вы должны, по крайней мере, препятствовать этому.
В прошлом мы использовали SuperPro, но этот продукт сейчас слаб и устарел.
Для нашего последнего продукта мы все еще оцениваем, но Sentinel / Aladdin ( http://www.safenet-inc.com/sentinelhasp/), SecuTech Unikey ( http://www.esecutech.com/Software-Protection/UniKey-Family/UniKey-Drive/UniKey-Drive-Overview.html) и KeyLok Fortress ( http://www.keylok.com/) входят в число выбранных подмножеств.
Одна вещь, которую мы делаем, - это обеспечение максимальной гибкости в модели. Таким образом, когда у маркетинга появится следующая яркая идея, мы будем готовы. Также крайне важно обеспечить чрезвычайно надежный и информативный контроль лицензий. Защита не должна означать плохое качество обслуживания клиентов (хотя часто может!).
Хотя я согласен с большинством других ответов, есть случай, когда аппаратные ключи работают, и это для программного обеспечения с низким объемом и высокой стоимостью. Популярное программное обеспечение большого объема всегда будет взломано, поэтому нет смысла раздражать ваших клиентов дорогостоящей аппаратной системой.
Однако вряд ли кто-то потрудится взломать специализированное, малообъемное программное обеспечение. Тем не менее, если его просто установить на другую машину, многие клиенты могут "забыть" купить другую лицензию, и вы потеряете ценный доход. Здесь защита ключа работает, так как они должны вернуться к вам за другим ключом, если они хотят запустить две копии одновременно.
Я использовал ключи Aladdin, но учтите, что для них доступны программные эмуляторы, поэтому вы должны также запрограммировать память на ключе с помощью чего-то, чего эмулятор не может знать.
Я использовал такие продукты, и они боль. Лично я бы не стал тратить деньги на аппаратную схему или схему защиты третьей стороны.
Не поддавайтесь соблазну аппаратной схемой защиты.
Единственные вещи, которые уверены:
- Любые схемы защиты будут взломаны.
- Вы будете раздражать законных клиентов
- Вы потеряете время на поддержку проблем, связанных с защитой
- Будут проблемы, когда законный клиент не сможет использовать ваш продукт из-за защиты.
- Лучше использовать любое время и средства, которые вы потратили бы на защиту, на улучшение продукта или поиск большего количества клиентов.
Золотое правило защиты - сделать его безболезненным для ваших клиентов. Схемы аппаратной защиты делают жизнь неудобной для ваших клиентов и облегчают для тех, кто вас обманул, что явно не так.
Современные ключи при правильном использовании могут обеспечить очень высокий уровень защиты от нелегального копирования. CodeMeter от Wibu-Systems пережил несколько публичных конкурсов взлома (последний раз в Китае!) Без победителей.
Причина в сильном шифровании: исполняемый файл полностью зашифрован 128-битным шифрованием AES, а генерация ключа для дешифрования происходит только в ключе. Поскольку период полураспада ключей короткий, даже обнаружение одного ключа (что потребует огромных усилий) не дает универсального трещины.
Взломщики - очень умные люди, и они не будут работать усерднее, чем необходимо для взлома программного обеспечения. Уязвимости в программном обеспечении легко оставить, если защита программного обеспечения не является основной целью ваших исследований и разработок. Получение хорошего ключа и тщательное следование рекомендациям производителя по защите - лучшая страховка от нелегального копирования.
Некоторые полезные вопросы при оценке системы защиты: 1. Поддерживает ли она версии ОС, которые вы хотите использовать в своем исполняемом файле? 2. Зашифровывает ли он связь между ключом и ОС? 3. Может ли он обнаруживать отладчики и блокировать лицензию, если отладчик работает? 4. Использует ли он чип смарт-карты (его сложнее анализировать аппаратными средствами)? 5. Использует ли он один ключ или несколько ключей? 6. Поддерживает ли она модели лицензий (оплата за использование, оплата за время и т. Д.), Которые вы хотите? 7. Имеется ли богатый набор инструментов, облегчающих использование? 8. Может ли он защитить другие типы файлов, кроме файлов.exe? 9. Насколько хороша их поддержка разработчиков? Было ли это передано в другую страну? 10. Сколько референтных клиентов они могут предоставить?
Стоимость может составлять от 50 до 100 долларов за копию (или меньше, или больше; зависит от множества факторов). Наиболее уважаемые поставщики предоставят вам информацию о ценах с помощью простого телефонного звонка.
Надеюсь это поможет.
Так же, как другое немного другое мнение:
Есть одна ситуация, когда я бы с радостью принял подход "ключ". MATLAB имеет ценовую структуру, где, если вы устанавливаете что-то на одном стационарном компьютере, это стоит $X. Если вы хотите установить его как одновременную лицензию (сервер лицензий в сети) для одного человека, чтобы использовать его одновременно, это стоит $4X. Это не имеет никакого смысла для редко используемого программного обеспечения.
Бизнес-модель для покупки сверхточного динамометрического ключа не должна иметь значения, сколько людей хотят его использовать, и если человек A хочет использовать его, но человек B уже использует его, то человек B должен закончить использовать его, прежде чем человек A может использовать это. У меня нет проблем с программным обеспечением, следующим этой модели с использованием физических токенов, если оно используется на сайтах, где оно используется несколькими пользователями. Это гораздо более справедливая бизнес-модель, чем повышение цены за одновременную лицензию. Подход физического маркера может быть менее привлекательным для отдельных клиентов, но если у вас есть продукт, который определяет цену, то почему бы и нет?
Если у вас нет продукта, который в такой степени востребован, я бы не стал беспокоиться.
И вам лучше иметь механизм для работы с потерянными токенами. (увы, я понятия не имею, там)
Во-первых, убедитесь, что это не будет контрпродуктивным. Он имеет немалые затраты на разработку, тестирование, обслуживание и поддержку клиентов. Случаи, когда такая защита является более подходящей, это когда ваше ПО является ПО, почти с выделенным для него компьютером.
Я знаю, что последние продукты Wibu обладают довольно хорошей надежностью и на практике являются хакерскими доказательствами. (Возможно, существуют и другие аналогичные продукты). По сути, части вашего кода могут быть зашифрованы самим ключом, причем ключ шифрования постоянно меняется. Они проводили всемирные хакерские конкурсы, где никто не мог использовать неавторизованные версии защищенного программного обеспечения.
Для защиты от пиратства я использую OM-p. Они предоставляют: - бесплатное консультирование по пиратству - бесплатный мониторинг по борьбе с пиратством - и оплачиваемые пиратские тейкдауны