Один ключ и несколько независимых защит

Общие вопросы по защите программного обеспечения

Один ключ и несколько независимых защит

Сообщение svp » Вс, 06 июл 2008 22:39

Хотелось бы обсудить возможность и гипотетическую надёжность размещения на физически одном ключе различных независимых защит от, возможно, разных разработчиков ПО.

Технически всё видится довольно просто. Корневой каталог остаётся открытым (не следует менять пин-код разработчика), далее в свободные каталоги ключа помещаются независимые защитные модули.
Понятно, что вероятность встречи на одном компьютере двух или более совершенно не связанных программ с защитой от Senselock пока маловероятна, и usb портов пока хватает, однако, такой открытый механизм, очевидно, дал бы ещё большую свободу и гибкость в использовании этих ключей.

На данный момент реализации описанной идеи мешает одно неудобство: удалить каталог нельзя, не зная его dev-pin'а или не потеряв содержимое родительского каталога.

Обойти это ограничение частично можно, если помимо корневого каталога не закрывть так же каталоги первого уровня, а всю защиту размещать на втором уровне вложенности.
Это позволило бы повторно использовать уже выделенное пространство каталогов первого уровня, предварительно очистив его.
Неудобства здесь тоже есть, и заключаются они в невозможности перераспределения памяти.

Надеюсь в следующих поколениях ключа разработчики более глубоко задумаются над похожими механизмами использования своей продукции=).
svp
 
Сообщения: 15
Зарегистрирован: Ср, 11 июн 2008 17:40

Сообщение Lithium™ » Чт, 10 июл 2008 14:33

Защитить одним физическим ключом разные программы от одного разработчика? - Да. Что собственно мешает :).

От разных разработчиков - практически конечно возможно. 6-е чувство подсказывает, надежность защиты программ обратнопропорциональна количеству разработчиков (фирм имею в виду), чьи программы ключ будет защищать.
Интересно только, реально есть ли такая необходимость, и какой разработчик на это пойдет :).
Слова "не надо нервничать" хорошо помогают привести человека в нормальное состояние бешенства.
Lithium™
 
Сообщения: 22
Зарегистрирован: Чт, 10 июл 2008 09:00
Откуда: RND

Сообщение svp » Чт, 10 июл 2008 17:06

Действительно, идея выглядит довольно натянутой, однако, если задуматься, то можно представить себе, например, ситуацию, когда разработку разных приложений большой системы поручают разным подрядчикам. Этим подрядчикам очень полезно было бы в минимальной степени контактировать друг с другом, причем защиту ПО для конечного пользователя представлять в виде одного токена, а не целой грозди ключей.
svp
 
Сообщения: 15
Зарегистрирован: Ср, 11 июн 2008 17:40

Сообщение Lithium™ » Пт, 11 июл 2008 07:28

Если задуматься, много чего еще хорошего и не очень можно придумать и захотеть :).

IM'not'HO, жизни на все не хватит :)
Слова "не надо нервничать" хорошо помогают привести человека в нормальное состояние бешенства.
Lithium™
 
Сообщения: 22
Зарегистрирован: Чт, 10 июл 2008 09:00
Откуда: RND

Сообщение Евгений » Пт, 11 июл 2008 17:11

Уважаемый SVP, идея защиты различных приложений одним ключом вполне реальна в случае с SenseLock при чем без потери стойкости, с той лишь оговоркой, что производители между собой оговаривают доступное им пространство внутри ключа. Грубо говоря, они договариваются между собой, выбирая пин код на корневой каталог, и второму разработчику ключ передается с запрограммированной защитой первого разработчика. Динамическое распределение памяти видится лично мне малореальным.

Альтернативной идеей является создание загрузчика, и хранение в нем публичных ключей производителей защиты. При этом можно, например, создать файла настроек, выполняемый файл и файлы данных, общие для всех. Подобное решение можно использовать, когда количество кода, требуемое для выполнения превышает 64 килобайта, допустим, для различного рода защищенных вычислений.

Чем хорошо SenseLock - я пока не встречал задач, которые на нем нельзя решить.
Seculab co-founder
Евгений
 
Сообщения: 23
Зарегистрирован: Ср, 11 апр 2007 16:51

Сообщение Евгений » Пт, 11 июл 2008 17:15

Уважаемый Lithium,

Забыл заметить, это очень удобно реализовать поставщикам компонент для различного рода последующей интеграции в ПО. Так, например, в историях успеха у нас описан пример реализации защиты поставщиком ядра геоинформационных систем. Они защищали свое ядро и давали ту же возможность сделать интеграторам. И все это происходило абсолютно без уменьшения надежности защиты каждой из систем.
Seculab co-founder
Евгений
 
Сообщения: 23
Зарегистрирован: Ср, 11 апр 2007 16:51

Сообщение svp » Сб, 12 июл 2008 00:18

Евгений писал(а):с той лишь оговоркой, что производители между собой оговаривают доступное им пространство внутри ключа.

Вот на это тонкое место я и хотел обратить внимание. Договариваться -- это одно, а пользоваться общим стандартом (скажем так) -- это другое. Куда удобнее без всяких договоров иметь возможность прописать в любой ключ (конечно если на нём достаточно свободного места) или удалить из него свой модуль защиты. Это всё при условии, конечно, что такие действия не могли бы привести к снижению надежности.

Я понимаю, что в данном случае мы имеем готовый отлаженный продукт, который обладает замечательным функционалом, и здесь, как нигде, справедливо выражение о том, что лучшее -- враг хорошего.
Открывая тему я думал, о новых версиях ключа, которые, возможно, сейчас, как раз, в разработке.

Евгений писал(а):Альтернативной идеей является создание загрузчика

Очень хорошая альтернативная идея. В применении к рассматриваемому вопросу она особенно хороша, если речь идёт о некотором отлаженном решении, опубликованном с исходниками на сайте производителя ключей.
Не так ли?
svp
 
Сообщения: 15
Зарегистрирован: Ср, 11 июн 2008 17:40

Сообщение Anton » Сб, 12 июл 2008 18:47

svp писал(а):Куда удобнее без всяких договоров иметь возможность прописать в любой ключ (конечно если на нём достаточно свободного места) или удалить из него свой модуль защиты. Это всё при условии, конечно, что такие действия не могли бы привести к снижению надежности.


Это реально если все разработчики защит на основе SenseLock'а не будут менять PIN разработчика корневого каталога на свой.
В этом случае достаточно создать свой каталог, установить на этот каталог свой PIN разработчика и использовать этот каталог в своей защите.
Другой разработчик использую PIN корневого каталога сможет создать в ключе свой каталог и в дальнейшем работать с этим каталогом.

Напоминаю на всякий случай: Знание PIN кода корневого каталога не позволяет манипулировать файлами других каталогов, созданных в корневом разделе. Максимум что можно сделать - это удалить 'чужой' каталог.

P.S. Что касается схемы предоставления памяти ключа любому разработчику, то тут есть одно "НО". Ключ является чьей-то собственностью. Его кто-то из разработчиков приобрёл, и я считаю что не каждый разработчик согласится с паразитированием на своей собственности.
Anton
Site Admin
 
Сообщения: 195
Зарегистрирован: Пт, 06 апр 2007 15:32

Сообщение svp » Вс, 13 июл 2008 01:30

Anton писал(а):В этом случае достаточно создать свой каталог, установить на этот каталог свой PIN разработчика и использовать этот каталог в своей защите.
Другой разработчик использую PIN корневого каталога сможет создать в ключе свой каталог и в дальнейшем работать с этим каталогом.

Ну в общем да. Однако увеличить объём каталога не получится.

Anton писал(а):P.S. Что касается схемы предоставления памяти ключа любому разработчику, то тут есть одно "НО". Ключ является чьей-то собственностью. Его кто-то из разработчиков приобрёл, и я считаю что не каждый разработчик согласится с паразитированием на своей собственности.

Не каждый. Но я бы, например, согласился. Я, ведь, создаю пользователю трудности тем, что моя защита занимает USB порт.
И ещё. Я не силён в юридических аспектах вопроса, но есть же ещё вариант включить ключ определённой марки с определённым количеством свободного места в требования к аппаратному обеспечению клиентской машины. При желании эту опцию можно добавить ещё и в счет на поставку ПО.
svp
 
Сообщения: 15
Зарегистрирован: Ср, 11 июн 2008 17:40

Сообщение Евгений » Вт, 15 июл 2008 22:07

Уважаемый SVP, есть один нюанс. При использовании расшаренного ключа в том виде, в котором Вы видите эту технологию, разработчику придется делать прошивку КАЖДОМУ конкретному пользователю под КАЖДЫЙ конкретный ключ. Что-то типа серийного номера. Иначе одной прошивки хватит на любое количество ключей.

Еще раз повторюсь, чем хорошо SenseLock так это тем, что на нем можно решить практически все!
Seculab co-founder
Евгений
 
Сообщения: 23
Зарегистрирован: Ср, 11 апр 2007 16:51


Вернуться в Защита программного обеспечения

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron