Lizenssicherung per USB Dongle

Hallo, ich habe ein Programm geschrieben
das die Lizenssicherung vereinfacht.

Grundprinzip:

Bein starten eurer Programme sucht mein Plugin
nach einem USB Dongle (ganz normaler USB-Stick - größe egal).

Ist dieser gefunden wird die auf dem Dongle befindliche Datei
geladen. Diese Datei beeinhaltet den Lizenskey - Donglekey.

Mein Plugin entschlüsselt dann den Lizenskey und vergleicht diesen
mit dem im Programm enthaltenen Key. Ist dieser richtig so
wird das Programm gestartet. Anderfalls erscheint ein Textbox
mit der Fehlerbeschreibung.

Schutzmechanismen wie vergleich der USB-Stick Seriennummer
etc. sind vorhanden.

Das Programm ist schon im Einsatz, jedoch bin ich grade noch
dabei da drann zu arbeiten, da es ein paar Sicherheitslücken gibt.

Wollte euch fragen ob es grundsätzlich interesse gibt?

grundsätzlich schon wenn es freeware ist ^^.

Ich kann mich JAck30lena nur anschließen 🙂

kann mich meinen beiden vorredner... eh vorschreiber nur anschliessen.

klingt auf jedenfall interessant.

a Frage: des Funktioniert doch mit jedem USB-Stick. Also würde es doch reichen, wenn man sich des Proggy ein mal kauft, die Datei vom Stick auf andere Sticks kopiert und schon kann die Software auf mehreren Rechnern eingesetzt werden...

hallo mastermax,

Schutzmechanismen wie vergleich der USB-Stick Seriennummer
etc. sind vorhanden.

mfg Jack.

oh, ok, hab ich überlesen.... dann hört sich des gar ned schlecht an...

Hallo, danke für eure Antworten.
Also werde mich dann daran machen das noch weiter zu optimieren
und vor allem ein Tool schreiben das den USB STick beschreibt, sonst wäre das Handarbeit. Kann aber alles noch etwas dauern 😉

Sind auch noch ein paar Bugs vorhanden,
wo ich mir überlegn muss wie ich das lösen könnte.

z.B:

• Wenn mehrere USB-Sticks eingesteckt sind kommt er
  mit der Seriennummer durcheinander.

• Key wird beschädigt wenn während des Schreib/Lesezugriffs
  der Stick entfernt wird.

1. erstaml danke für die mühe die du dir machst
2. ist es denn freeware?
3. was für sicherheitsmechanismen verwendest du?
4. hast du eine dll/lib die man einfach nur noch in sein projekt einbinden kann?
5. wie genau funktioniert es denn (mit beispielcode) wenn man seine software so sichern will?
6. wie kann man den schlüssel auf dem stick sichern?
   usw... ^^

Hallo Jack,
also erstmal vorweg:

Es wird Freeware sein mit einer begrenzten Anzahl an Keys (so 100 Stück).
Quellcode will ich derzeit noch nicht öffentlich zeigen, sonst währe es unter
umständen einfacher das System zu knacken, bzw meine Idee zu vermarkten.

Zum einbinden:
Höchstwahrscheinlich über eine .dll

Zur Frage "wie kann man den schlüssel auf dem stick sichern?"
Meinst du damit wenn der Stick durch den Kunden überschrieben wird?

Es gibt USB-Sticks mit Schreibsperre, die man auch über eine Software
aktivieren kann, geht jedoch nicht bei allen Sticks.
Desweiteren geben auch leider nicht alle Sticks eine Seriennummer aus.

Wenn es soweit ist werde ich eine Liste mit kompatiblen Sticks veröffentlichen.

Wiegesagt bin ich noch in der Entwicklung, das Plugin funktioniert bei meinen
bestehenden Programmen, jedoch ist es noch nicht zur veröffentlichung da man noch alles von hand einrichten muss. Denke mal in den Pfingstfeiertagen geb ich euch mal eine Beta zu testen, dann währe ich auch sehr froh wenn jemand versuchen würde das Plugin bei sich einzubauen und auch versuchen würde die Sperre zu umgehen.

wenn ich dir einen thread ans herz legen darf -> HackMe

das wäre insbesondere für teile deiner dll interessant.

was die idee mit deiner dll betrifft:
du musst sie unbedingt bombenfest bekommen, da man die ansonsten verändern/austauschen kann....

Hallo,

der austausch der DLL würde erschwert werden, wenn du diese signierst (Strong Name). Das zu schützende Programm lädt dann nur die signierte DLL. Zwar könnte man dass Programm immernoch Patchen, damit es unsignierte DLLs lädt, aber es währe immerhin eine weitere Barriere.

Gruss
tscherno

Hallo tscherno,

ich weiß nicht, ob Signierung wirklich eine Erschwernis ist, wenn man sich den folgenden Artikel anschaut.

Removing strong-signing

Gruß, DaMoe

HW-Dongles basieren darauf, dass ihr Geheimnis (Key) nicht kopierbar ist, d.h. man kann z.B. damit ver- und entschlüsseln, aber den Schlüssel selbst nicht auslesen. Mit normalen Speichersticks bekommt man keine Dongle-Eigenschaften.

Hallo, was genau willst du mir damit den sagen?
Ich verwende nunmal eine andere Methode, und das Grundprinzip "Dongle"
ist es trotzdem. Das Rad wurde auch nicht nur einmal erfunden 😉

Hallo!
Also ich muss sagen, ich finde das Projekt gut.
Es geht ja nicht darum etwas unknackbar zu machen. Wie man immer wieder sieht ist so gut wie alles knackbar, es ist nur eine Frage des Aufwandes.
Und darum geht es denk ich auch in der Softwarelizensierung. Man will es den Nutzern so anstrengend wie möglich machen die Software ohne zu bezahlen zu nutzen und wenn man ein "gutes" System dafür hat (so wie ich dieses Projekt hier als "gut" einschätze) und man von 1000 Usern die versuchen es zu hacken 900 abhällt, dann ist das etwas mit dem man zufrieden sein kann.

Lg
Preli

PS: was nicht heißt dass man nicht immer wieder versuchen sollte es zu verbessern und so viele Lücken wie möglich zu schließen

Einfach mal warten was er bald präsentiert. Wird man dann ja fix sehen wie schnell/langsam es umgehbar ist.

ich bin ehrlich gesagt auch schon sehr gespannt. mein hex-editor und ildasm wartet schon ^^

prinzipiell bin schon sehr für eine freeware version der sonst recht teuren kommerziellen produkte.

bin auch sehr intressiert. wo gibt es denn die freeware version zum testen?

Hallo, ist noch nicht vorhanden.
Da das ganze verfahren doch recht aufwenig ist und ich
noch vor ein paar Sicherheitsproblemen stehe, kann es noch etwas dauern.

Grüße

Was ist nicht verstanden habe: Warum soll auf dem Stick eine Datei gespeichert werden?

Wenn du die Seriennummer vom Stick auslesen kannst, dann reicht das doch völlig aus, um sich als berechtigter Benutzer zu legitimieren, oder?

Christoph

Wenn die Technik viel genutzt wird, gibts bald statt virtuellen CD- und DVD-Laufwerken auchnoch virtuelle USB-Sticks und dann gibts Starforce auch für USB.

Oder USBCopyworld

8o 😁

das glaub ich kaum, da Professionelle USB-Lizenssicherung hauptsächlich mit dem CodeMeter betrieben wird, der nach 4 Hackertreffen jetzt immernochnicht Ausgehebelt wurde.
Deswegen gibt's wohl (leider) keine Cracks dafür.

Naja, dass CodeMeter nicht gehackt wurde kann man so auch nicht sagen. Bei dem Hacker Contest 2007 gelang es zwar keinem Hacker den Schutz vollständig zu entfernen, jedoch konnten einige Leute eine Teilaufgabe lösen und die Software ohne Dongle zum Laufen bringen. Was nicht gehackt wurde war der Teil der Software, der nur durch eine gültige Lizenz wieder entschlüsselt werden konnte. Im Vergleich zu Ihren früheren Hacker Contests hat Wibu diesmal zwar den Dongle zur Verfügung gestellt, jedoch ohne die benötigte Lizenz zum Entschlüsseln. Somit kann man zusammenfassend sagen, der Wibu Contest2007 hat im Grunde nur gezeigt, dass ohne Dongle-Key keine Entschlüsselung erfolgen kann, was ja auch schon durch die Contests zuvor gezeigt wurde, nur diesesmal hat mal auch gleich den CodeMeter unters Volk gebracht 🙂

In der C’t 21/07 wurde ein Angriff auf den machbaren Teil vorgestellt und gezeigt wie mittels einer Fake-DLL die Dongle-Kommunikation simuliert werden konnte.

Den C’t Artikel findet man unter:
www.heise.de/kiosk/archiv/ct/2007/21/212_kiosk (gebührenpflichtig)
http://www.kopierschutzsysteme.de/thread.php?threadid=86&sid= (kostenlos)

Natürlich hat Wibu auf den Artikel sofort reagiert und ein verbesserte Version nachgeschoben.

Gruß
Michael