licensy adatok biztonságos tárolása

Fejlesztés

dolgozom valamin. (nem open sok dolog miatt). Olyat szeretnék, hogy egy licensz opció több komponens által is könnyen lekérdezhető legyen, szükség esetén írható is (úk licensz vásárlása). Az egész bazár egy linuxon fut majd, amit én állítok elő, a user meg letölti, bedobja egy vm-be. A licensz opciót hívjuk LICOPT-nak. egyik komponens könnyen le tudja kérdezni, egy másik tudja módosítani. DB-be tenném, de ott van, hogy előbb-utóbb a user akarni fog root access-t a bazárhoz, innentől meg, bele fog akarni barkácsolni, mert valakit érdekelni fog, hogy tudja hmm. "kiterjeszteni" a megoldás használati lehetőségeit. Szóval egy olyan megoldás kéne, amit root-tal se lehet meghamisítani, de kb. egy DB szintű módon a jogosult komponensek mégis hozzáférjenek. Java-ban íródik a dolog, lesz webes frontend, meg pár background processz.
Ötlet?

  • 1932 megtekintés

( mrceeka v | 2016. 05. 27., p – 23:46 )

Hát, nem állítom, hogy mindent értek abból amit írtál...
Nekem olybá tűnik, hogy ennek az általam nem teljesen értett dolognak nem kéne "bent" lennie a megoldásban, ahol kíváncsi root megtalálja-megpiszkálja, hanem egy külső szolgáltatásban helyezném el részben vagy egészben; olyanban, ahová nincs root accesse a használónak sose.

Azt gondolom, hogy nem érdemes keresni olyan megoldást, amiben a root mégsem root teljesen. Ugyanis a root teljesen root.
Persze, lehet monitorozni, időben korlátozni-munkafolyamattal hozzáférést adni stb. De amikor root, akkor root.

Üdv,
Marci

igen, a külső az 1szerű, de lehet az az ügyfél, hogy nem engedi kiaz ilyesmi orgalmat, meg semmilyet se, szóval kéne egy Bterv. Olyat meg nem rakhatsz le, hogy nem kap root-ot .
A !root!=root kérdés egyszerűbbnek tűnik, de nem tetszik olyan nagyon, bár láttam már ilyet egész közelről.

Ha full rootja van az is nalad csapodik le eurban. :)

Egy olyanhoz mit szolsz, ha egy pgp titkositott csomagot teszel le nala es a publikus kulcsot. A modulokat siman fel tutod sorolni benne, akar a lejarati idovel egyutt es a juzernek is lehet egyszeru ellenorzo appja a licenszhez.

( joco01 v | 2016. 05. 28., szo – 00:25 )

Írd alá RSA-val a licencet, amit kiadsz, azt csak a programba való belenyúlással tudják megkerülni, amúgy gyorsan offline ellenőrizhető.

--

Rejtett subscribe :)

Egyébként továbbra is működhet, ha a géphez kötöd az aláírt licensz(eket), ahogy pl. a MATLAB és ArcGIS által használt licensz-manager (Flexnet) csinálja; ha jól rémlik a hálózati eszközök MAC címei és a lemezek ID-jeit használja. A klónozásra meg megoldás, hogy az első checkout-kor (vagyis amikor megkapod a gép azonosítóját és aláírod) zárolod a központban a licenszeket mondjuk fél évre, és fél évente be kell jelentkeznie a gépnek (vagyis fél évre érvényes licensz-kulcsot adsz ki), a supportot meg senki nem fogja senki félévente hívogatni, hogy "Béla, warezolnánk a cuccotokat, de asszondja a rendszer, hogy nem engedi" :) [ez utóbbit AFAIK a Flexnet nem csinálja, de soha nem zavart annyira, hogy tudják a lemezek ID-ját, hogy e-mailes aktiválással szórakozzak, lehet, akkor időnként levelezhetnék velük, passz]

ruczati: ha nem akarod újra feltalálni a spanyol viaszt, nézz utána a Flexnetnek, fizetős a cucc, viszont jó pár "nagy" szoftver is használja, úgyhogy valszeg. kiforrott és biztonságos; ráadásul többet is tud ennél (időkorlátozott off-line checkout [egy kliens kikér magának egy licensz-kulcsot és azt tudja szerver nélkül is használni, aztán a beállított idő után automatikusan lejár], több szoftvert, alrendszerek licenszeit stb. kezeli)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

> úgyhogy valszeg. kiforrott és biztonságos;

Egyszer debugoltam egy flexnet-et használó programot (Xilinx PetaLinux), hogy miért nem találja a valid licenszemet, és teljesen véletlenül (LD_PRELOAD-os lib-bel néztem egy függvényt, argumentumokat naplóztam) sikerült kiütnöm a védelmet. Ennyike.

Igaz, ez nem a flexnetes kódon belül volt, hanem az azt felhasználó kódban.

( mrceeka v | 2016. 05. 28., szo – 10:28 )

Szerintem a főbb elemek kb.: licenckulcsok generálása, Ügyfélhez eljuttatása, licenckulcshoz(?)+hardverjellemzőkhöz+időhöz(?) kötött aktivációs vektor létrehozása a licencelt gépen, aktivációs vektor valamilyen csatornán Hozzád juttatása, aktivációs vektorral aktivációs kulcs generálása Nálad, aktivációs kulcs visszajuttatása Ügyfélhez valamilyen csatornán. Aktivációs állapot ellenőrzése a szoftver működése során, akár több helyre beépítetten.

Mit gondolsz?

Üdv,
Marci

Szerintem a teljes VM klónozást akkor se tudod kivédeni.

Eleve jó lenne tudni, hogy az adott program esetében értelmezhető-e a többszörös telepítés, jár-e bármilyen előnnyel, illetve hajlandó-e a kérdező extra védelemmel szenvedni, hogy ezt meggátolja, jár-e annyi plusz bevétellel, hogy megérje? Azt is vedd figyelembe, hogy ha a programot túl nehéz jogszerűen használni, már csak azért is el fogják lopni, vagy inkább használnak mást.

--