Страница 1 из 1

SenseLock vs HASP

СообщениеДобавлено: Вт, 11 мар 2008 21:50
WaSh
Хотелось бы услышать про сравнение возможностей этих ключей.

Особо интересует в плане легкости создания эмулятора (патча) - поскольку всем известно, что HASP в этом плане сильно уязвим - один пример - 1С чего стоит...

СообщениеДобавлено: Вт, 11 мар 2008 23:29
hijaq
Мы обязательно подготовим подробное сравнение электронных ключей в ближайшее время.

А если коротко, то есть одно существенное отличие между SenseLock и другими ключами типа Hasp, Sentinel и т.п. (назовём их "обычными").

В обычных ключах есть кусок памяти + "секретная" (очень часто она перестаёт быть секретной) функция шифрования, которая создаётся производителями ключей и не может быть изменена.

В ключах SenseLock есть много (32 или 64 кб) памяти, в которую вы размещаете свой собственный код. Это может быть абсолютно любой алгоритм. Он будет уникальным только для вашей программы и безопасность вашей программы никак не будет зависить от алгоритмов, находящихся в ключах SenseLock, используемых другими разработчиками.

По поводу эмуляторов - если в ключ вынести правильно функцию программы, то создать эмулятор будет невозможно. Это подтвердят и на "противоположной" стороне, например на форумах cracklab.ru, reng.ru или forum.ru-board.com.

С аппаратной точки зрения ключи так же сильно отличаются. Обычные ключи используют обычные контроллеры, стоимость взлома которых начинается от $500. А в SenseLock используется чип смарт-карты компании NXP (бывшая Philips), степень защищённости которого, а следовательно и стоимость взлома (собственно, никто и не возьмётся), во много раз выше.

СообщениеДобавлено: Пт, 06 июн 2008 22:15
vsevolod
hijaq писал(а):По поводу эмуляторов - если в ключ вынести правильно функцию программы, то создать эмулятор будет невозможно. Это подтвердят и на "противоположной" стороне
На противоположной стороне (http://www.donglelab.com/Emulators.asp?aid=73) как раз предлагают изготовление такого эмулятора для Sense3 и EliteIV :)
hijaq писал(а):С аппаратной точки зрения ключи так же сильно отличаются. Обычные ключи используют обычные контроллеры, стоимость взлома которых начинается от $500. А в SenseLock используется чип смарт-карты компании NXP (бывшая Philips), степень защищённости которого, а следовательно и стоимость взлома (собственно, никто и не возьмётся), во много раз выше.
В отношении EliteIV Китайцы пишут: "price may looks a little bit higher compared to other series of our product", т.е. немного дороже, чем эмуляторы на другие ключи.

Я что-то напутал или действительно эмуляторы делают?

СообщениеДобавлено: Пт, 06 июн 2008 23:12
hijaq
Ну тут как в том анекдоте про деда, соседа и секс: "Ну так и вы говорите!", а в реальности дела обстоят примерно так:

Sense3 - это очень старая версия ключа, которая уже много-много лет не выпускается и не используется, а в Россию в принципе никогда не привозилась. В общем, это что-то из времён Windows 95 и нас вообще не интересует.

SenseIV (т.е. SenseLock EL) - выполнен на базе абсолютно другого железа и обладает абсолютно другими возможностями. Теоретически, если защита реализована слабо, то есть возможность создания эмулятора и это нормально, т.к. чудес не бывает. Если разработчик вставит в электронный ключ только функцию получения серийного номера - не удивительно, что в этом случае для его программы сделают эмулятор. Что, однако, абсолютно никак не отразится на защите программ других разработчиков (в отличие от других ключей, где вскрытие функции убивает всю линейку).
А вот если защита реализована нормально - эмуляторов не будет. Мы сами в этом немного :lol: разбираемся, да и можете поинтересоваться на специализированных cracker'ских форумах, там вам это тоже подтвердят.
Со своей стороны, мы всем нашим клиентам предлагаем поддержку и оказываем консультации по вопросам защиты.

СообщениеДобавлено: Сб, 07 июн 2008 17:23
Ivan Petrov
vsevolod писал(а):Я что-то напутал или действительно эмуляторы делают?


Отписал ему сегодня. Проведем разведку боем :)

Теставая задача будет следующая:
- Программу назовем "Калькулятор сервеисных PIN кодов для производственных линий фирмы N". Фирма N очень хорошо извесна в россии, но не изветна в китае, и у нее нет Web сайта :)
- Поместим 6 модулей в ключ, алгоритмы - это HMAC на SHA-1, длина секретной части 16 байт. Вход и выход по 128 бит перекодированный в ASCI, вход вбивается с клавиатуры (и все возможные варианты не извесны). При таких параметрах табличная эмуляция невозможна.

Планку рентабельности определим на уровне 10к$, срок выполения 1 месяц с сегодняшнего дня.
Как тест, попросим проэмулировать один из алгоритмов на выбор, до этого никаких предоплат и пр.. чтобы не было банального отъема денег.

В качестве доказательтва принимается:
- Програмный эмулятор.
- Не меньше N+1 железячных клонов, где N количества отосланных ключей (не больше 5).
- Эмулятор или клон, должны вточности повторить (также как оригинал) не меньше 100 вход-выходов, вход будет сгенерирован случайным образом.

СообщениеДобавлено: Сб, 07 июн 2008 20:39
vsevolod
Ivan Petrov писал(а):
vsevolod писал(а):Я что-то напутал или действительно эмуляторы делают?
Отписал ему сегодня. Проведем разведку боем :)
Если смотреть реально, то это вы тут написали, что написали ему :) А на самом никто не знает правды (кроме вас конечно).
Можете потом написать, что, мол, "они отказались".

Так что достоверность результата будет нулевой. Но с другой стороны хоть что-то, а то информации по взлому SenseLock вообще не найти :)
Читал про одну попытку, но она не увенчалась успехом.

Ждем ответа, а тем временем переносим часть кода в ключ в надежде на то, что они таки неломаемы за приемлимую цену :)

СообщениеДобавлено: Сб, 07 июн 2008 20:42
vsevolod
hijaq писал(а):Sense3 - это очень старая версия ключа...

SenseIV (т.е. SenseLock EL) - выполнен на базе абсолютно другого железа
Я вообще подумал, что EliteIV и SenseLockIV EL - это одно и то же. Ошибся?

СообщениеДобавлено: Сб, 07 июн 2008 23:20
Ivan Petrov
vsevolod писал(а):Если смотреть реально, то это вы тут написали, что написали ему :) А на самом никто не знает правды (кроме вас конечно).
Можете потом написать, что, мол, "они отказались".

А кто мешает Вам самому написать ему?

vsevolod писал(а):Так что достоверность результата будет нулевой. Но с другой стороны хоть что-то, а то информации по взлому SenseLock вообще не найти :)
Читал про одну попытку, но она не увенчалась успехом.

В случае взлома опасен не еденичный случай, а возможность поставить технологию на поток и дальнейшая утечка в массы.

vsevolod писал(а):Ждем ответа, а тем временем переносим часть кода в ключ в надежде на то, что они таки неломаемы за приемлимую цену :)

Мы не скрываем что ключ можно сломать, но по результам исследований на сегодняшний день, такой взлом оценивается в 50к$+, и это только предоплата за попытку без гарантированного результата.

hijaq писал(а):Что, однако, абсолютно никак не отразится на защите программ других разработчиков (в отличие от других ключей, где вскрытие функции убивает всю линейку).

СообщениеДобавлено: Сб, 07 июн 2008 23:26
hijaq
Если смотреть реально, то это вы тут написали, что написали ему А на самом никто не знает правды (кроме вас конечно).
Можете потом написать, что, мол, "они отказались".

Так что достоверность результата будет нулевой. Но с другой стороны хоть что-то, а то информации по взлому SenseLock вообще не найти
Читал про одну попытку, но она не увенчалась успехом.

Ждем ответа, а тем временем переносим часть кода в ключ в надежде на то, что они таки неломаемы за приемлимую цену


Собственно, любой желающий может провести подобный эксперимент, тут нет ничего сложного. Для полной достоверности эксперимента (чтобы и мы были уверены в результате) - мы создаем ключ по описанной выше схеме с известными только нам секретным кодом для HMAC SHA-1 и PIN-кодом разработчика, любой желающий у нас его приобретает (иначе мы просто раздадим все ключи желающим =)). А затем проверяет стойкость любым доступным ему способом.

По окончании эксперимента (т.е. когда надоест ждать :lol:) ключ можно будем вернуть нам (если он будет в приемлемом состоянии) или докупить у нас ещё ключей для надежной защиты своих программ :wink:

Я вообще подумал, что EliteIV и SenseLockIV EL - это одно и то же. Ошибся?


Нет, не ошиблись, я именно об этом и написал.

СообщениеДобавлено: Пн, 16 июн 2008 14:27
Ivan Petrov
vsevolod Мне пока никто не ответил. У вас есть новости? или Вы не пробовали писать?

СообщениеДобавлено: Пт, 20 июн 2008 17:09
vsevolod
Ivan Petrov писал(а):vsevolod Мне пока никто не ответил. У вас есть новости? или Вы не пробовали писать?
Нет, я не пробовал.