Есть-ли смысл в защите?

[alexey38]

Думая о любой защите нужно обязательно себя попробовать в роли легального пользователя.

Например, есть предприятие, у которого есть склад. Если склад встал, то предприятие несет убытки, иногда намного превышающее стоимость софта. Отгрузка со склада без учета - это затраты на инвентаризацию, что весьма не дешево. Это предприятие купило Вашу программу, все работает, всем нравится, все всех устраивает.

В некий момент у них на складе (или в офисе) ломается комп. Срочно вызывается специалист (штатный или приглашенный админ), который быстро реанимирует, например, путем замены компьютера (диска или еще чего-то) или переустановкой ОС. Руководство предприятия ставит задачу восстановить работоспособность за 5, 10, 30 минут, 1 или 2 часа. Чем больше простой, тем больше убытков.

Если причиной простоя будет необходимость получения обновленного ключа, а Вы не готовы его выдавать 24 часа в сутки, 7 дней в неделю и 365 дней в году, то есть у Вас в штате нет хотя бы 5 сотрудников, посменно работающих круглосуточно, то это приведет к тому, что именно Ваша система защиты приведет к убыткам предприятия, что обязательно будет доложено руководству. Соответственно руководство в будущем больше никогда не будет приобретать такое ПО.

Во многих серьезных конторах никогда не покупают софт, если у них нет в наличии ломанной версии, которая обеспечит моментальное восстановление работоспособности. В т.ч. у любого 1С админа обязательно в наличии есть ломанная 1С. У любого виндового админа всегда есть ломанная винда и т.п. Это "ремкомплект". Если у какого-то важного софта этого нет, то вероятность продажи такого софта будут минимальными, т.к. против продажи будет и админ, и директор. Понимая это и 1С и Микрософт никогда полностью не блокируют пиратство их софта.

Сам одно время для личных целей приобретал платный софт (мелкие утилиты). Потом полностью отказался, т.к. в случае поломки железа ты получаешь личные затраты не только за испорченное железо, но и на повторно приобретаемый софт, или в получаешь долгий головняк в виде попыток уговорить тех.поддержку выдать новый ключ, причем с большой задержкой. Поэтому сейчас никогда не покупаю тот софт, на который не имею кряк.

[Лекс Айрин]

может я вас не понимаю, но если ваша цель защитить софт от нелегального копирования,

так сертификат привязывается к компу, так что на носитель, если честно, положить. У меня вон, ключ на обычной флешке лежит и не парится. И могу его обкопировать до посинения, а толку? Все равно вне компа он неработоспособен. И, кстати, целью сертификации необязательно может быть защита от копирования, но и, к примеру, передача сообщений с гарантией его неизменяемости по дороге.

А в файрфоксе ключи нужны (в том числе) для защиты от подделки репозитариев.

Аппаратные ключи неудобны тем, что их, например, легко потерять (или их могут украсть). И если в случае с com/lpt портом еще придется попариться (он может прикручиваться к порту), то в случае usb просто подошел и выдернул.

[azsx]

так сертификат привязывается к компу, так что на носитель, если честно, положить.

я вас не понимаю. Имея закрытую от открытую часть ключа я легко поставлю сертификат на 2 и более компа. Соответственно раскопирую ваш серт на флешки и буду юзать немеряно флешек одновременно.

[Лекс Айрин]

azsx, не поставишь. В сертификат привязывается к аппаратной части и ключи (открытый и закрытый) будут валидны только на этой машине. На другой Вам будет дан отказ. Конечно, этот механизм обойти можно, если использовать свою программу работы с электронными ключами, но быстрее и надежнее будет обойти саму проверку. Если, конечно, речь идет о взломе программы.

Добавлено спустя 6 минут 15 секунд:
Дело в том, что:
1) Сертификат это не только ключи, но и куча дополнительной инфы.
2) Зашифровать то ты сможешь, а вот правильно добавить к файлу "конверт"?

[Sergej_S]

Думая о любой защите нужно обязательно себя попробовать в роли легального пользователя.

Например, есть предприятие, у которого есть склад. Если склад встал, то предприятие несет убытки, иногда намного превышающее стоимость софта.

100% согласен. Поэтому я делаю свои незарегистрированные версии полностью рабочими, лишь выдавая предупреждение и предложение решить пример типа 18+45. (при запуске и еще иногда где-нибудь). Т.к. выдавать ключи в круглосуточном режиме сильно утомительно.

[azsx]

В сертификат привязывается к аппаратной части и ключи (открытый и закрытый) будут валидны только на этой машине.

наверное вы правы, я такого никогда не видел. Я у себя не могу копировать серты только с некоторых етокенов. зы правда своя программа для работы с ключами - уж не крипто про ли это?

[Лекс Айрин]

у меня стоит крипто про. Но не думаю, что сильно большая разница в других прогах. Вообще, если сертификат легко перенести на другую машину, то это лишает смысла делать защиту на основе электронного ключа. Пусть даже аппаратного.

А с другой стороны, утеря самого ключа тогда фатальна...

[azsx]

Вообще, если сертификат легко перенести на другую машину, то это лишает смысла делать защиту на основе электронного ключа

Лекс Айрин вы точно не можете скопировать через крипто про свой сертификат? Мне кажется вам просто никогда этого было не надо. Рискну погадать, что вы не совсем понимаете смысла всех этих сертификатов.

А с другой стороны, утеря самого ключа тогда фатальна...

и поломка фатальна. Для этого на местах и делают копии. Хотя мы конечно негодяи трояны спят и видят наши серты на флешках, хакеры, анб там и прочие вражины. Только мои сертификаты не привязаны к компу, УЦ делает их на человека работающего в организации, а не на комп.
зы
вернемся к теме, защита проги для кладовщика ключом Етокена - это логично?

[Лекс Айрин]

вы точно не можете скопировать через крипто про свой сертификат?

Я его могу и так скопировать.

вернемся к теме, защита проги для кладовщика ключом Етокена - это логично?

Логично, но только лично я, как админ, не пущу человека на комп если на компе будет ключ аппаратной защиты. Особенно кладовщика.

Просто потому что знаю как это будет в итоге. Как в анекдоте -- один шар сломал, а другой потерял. Даже в полностью настроенной системе люди ухитряются периодически терять расшаренный принтер, что уж говорить о ключе. В итоге, ключ будет, скорее всего, просто тупо сломан (скорее всего, вместе с портом). А подпаивать разъем мало того, что очень неудобно, так еще и не гарантирует стопроцентной гарантии восстановления.

Да и был у меня опыт, когда пришлось переустанавливать комп после попыток поставить другую систему... в итоге, пришлось перебивать данные... ну и инвентаризацию заодно проводить. Ибо никто не озаботился правильным сохранением данных. Даже примитивным экспортом. Зато после этого, кладовщик сам противился попыткам что-то сильно изменить.

[ev]

в контексте темы ищут способы защиты программы для кладовщика от не лицензионного использования.

"защиты программы для кладовщика"? поподробнее пожалуйста
да и почему вы отметаете не лицензионное использование? в первом же посте топикстартера написано обратное

Или программ подобной сложности.

начнем с того, что уровень защиты определяется не сложностью программы
и закончим цитатой топикстартера: "Бухгалтерия (первичная) плюс склады с аналитикой, которая на нашем предприятии используется более года."

Использование рутокена в таких программах неоправданно дорого.

даже интересно... если 1000-1200 рублей дорого, то какова по вашему мнению стоимость подобной программы (на которой держится большая часть бизнеса)?

1. крайне желателен админ для установки.

крайне желателен админ для установки ПО? как же все ПО взялось на компьютере без админа?
при чем тут рутокен? как уже писал выше - последние рутокены не требуют даже драйверов
или для вставления в USB разъем вам нужен админ? тогда и для включения компьютера заводите админа

2. сам ключ и сопутствующие ему услуги дороги.

при использовании ключа нет дополнительных платных услуг
использую программу закрытую токеном около 10 лет назад, никаких дополнительных трат нет

Для меня эцп - это комплекс из носителя (рутокена), крипто про (почти всегда обязательно), непосредственно сайта или софта, который читает сертификат с носителя, сопуствующего софта и плагинов для чтения сертификата. Очень часто бывает, когда весь комплекс будет работать только с определенными параметрами безопасности (разрешать надо всё) и только в определенных браузерах (версиях винды).

а что вы суда не добавили и другую инфраструктуру для комплексного решения?
ведь я вижу еще кучу глобальных минусов исключительно рутокена в вашем случае:
1. он просто не работает большую часть дня, включается на пару часов в день (люди живущие в крыму подтвердят - электричества выключали и рутокены не работали)
2. рутокен ломается по несколько раз в день и приходится его заменять (кладовщик засыпает и падает со стула рядом с компьютером задевая токет и выламывая разъем)
..... и т.д. и т.п.
может стоит разделять условия эксплуатации конкретного решения и использование самого токена?

Вкратце, рутокен хранит закрытый ключ на флеш и может его отдать вам. Таким образом вы можете скопировать серт в реестр или на другой носитель. Етокен в "режиме защиты" отдает закрытый ключ через внутренний процессор.

у рутокена на флеш, а у етокена через внутренний процессор - зачем сравнивать теплое и мягкое?
чисто ликбез - у рутокена тоже передача идет через внутренний процессор, а етокен тоже хранит ключи в памяти
тут больше вопрос как настроено хранение ключа, т.к. у рутокена (думаю и у етокена тоже) есть несколько вариантов хранения с присущими им плюсами и минусами

Но этот способ хранения не сертифицирован в рф.

сертифицирован кем именно и для чего именно?
в рф (да и в других странах) существуют различные требования для различных применений

Раз сертификата получать не надо - ключ обходится дешевле и сама система надежнее.

как получение сертификата влияет на надежность?

Нанятый юрист, стучалка в софте и суды время от времени принесут деньги. А мудренная защита от копирования больше создает проблем лиц. пользователям, чем пиратам.

чем лучше безграмотный юрист и стучалка вешающая софт при отсутствии интернета, чем грамотно реализованая защита не создающая проблем лиц. пользователям?

1. рутокен требуется не один, а в комплексе софта почти всегда;

ктож вам такое сказал то?

2. сертификат на рутокене отсоединяем (как вы верно меня поправили).

это один из режимов работы, но это не значит что нельзя настроить иначе
рутокен просто универсален

Какое отношение это имеет к технологиям защиты программ от несанкционированного запуска? Не знаю

не силен в законах.

круто... это прям как "не читал, но осуждаю"

То есть рутокен дороже етокена как раз потому, что с етокена (иногда) закрытую часть сертификата скопировать нельзя никак, а с рутокена сделать копию (дубликат по сути) можно. Потому етокен дешевле, да?

рутокен дороже етокена потому, что производитель выставляет такую цену
почему именно эту цену - вопрос интересный, но предприятия подобными данными не делятся
а уж факторов дороговизны рутокенов можно придумать вагон: российское производство, меньшие объемы производства, да жадность в конце концов
и что с чем сравниваем? вот простой вариант Рутокен Lite 64КБ - 1115 руб (есть дешевле)... с каким етокеном сравним?

[azsx]

ev если чо со всеми вашими доводами я согласен целиком и полностью.Причина - конструктивный диалог, по моему мнению уже закончился.

последние рутокены не требуют даже драйверов
или для вставления в USB разъем вам нужен админ?

Правильно ли я понимаю, что бывают программы юзающие рутокен ключи,которые не требуют ничего от юзера. То есть воткнули носитель в usb разъем, система сама установила драйвера и всё. Не надо ставить сертификаты в личное, корневые в и уц в доверенные? Нет возни с настройками, консолью управления? Прочей атрибутики?
Или я вас просто не верно понял?
---

Логично, но только лично я, как админ, не пущу человека на комп если на компе будет ключ аппаратной защиты. Особенно кладовщика.

счастливый вы человек. Вас кто то спрашивает, вы ваще что то админите.
Как я уже писал вокруг меня ситуация иная. Очень часто системного администратора нет ваще,ни постоянно, ни приходящего, ни знакомого. Есть кто то умеющий переустанавливать винду. Соответственно если троюродный брат уборщицы знает девушку у которой муж умеет чинить компьютеры и может бесплатно по знакомству прийти в офис и почистить комп, чтобы всё летало... то бывает что соглашаются. Когда сисадмин есть - его не слушают. А у вас всё иначе.

[sign]

А подпаивать разъем мало того, что очень неудобно, так еще и не гарантирует стопроцентной гарантии восстановления.

Вам показать, как переименовать другой порт в нужное имя?

[Лекс Айрин]

Вам показать, как переименовать другой порт в нужное имя?

А толку, если, допустим, разрушен сам ключ? Не всегда же разъем отваливается "правильно". Иногда трескается сама схема.

Вас кто то спрашивает, вы ваще что то админите.

Не просто спрашивают, а еще и просят объяснить подробно что и как... стараются не лезть если что-то не работает... в общем, картина близкая к идеалу.
Ко мне, кстати, тоже могут прийти и попросить починить комп... это нормально. Только я сразу говорю, что винду настраиваю, но не переустанавливаю. Не, принеси лицензию -- я поставлю. Иначе, на комп залью линукс. И не для всех бесплатно.

[ev]

Правильно ли я понимаю, что бывают программы юзающие рутокен ключи,которые не требуют ничего от юзера. То есть воткнули носитель в usb разъем, система сама установила драйвера и всё. Не надо ставить сертификаты в личное, корневые в и уц в доверенные? Нет возни с настройками, консолью управления? Прочей атрибутики?

все зависит от конкретной поставленной задачи и используемого окружения
если надо интегрироваться в чью-нить кривую инфраструктуру - то там может понадобиться и вызов администратора из другой страны (это не шутка)
а если вы строите сами - то можно сделать что угодно

да и почему только рутокен?
я аладин очень давно не использовал, но разве его использование до сих пор требует дополнительных драйверов?

[azsx]

все зависит от конкретной поставленной задачи и используемого окружения

значит мне ни разу не попадалось, чтобы программистом поставили задачу буспроблемной работе на стандартной винде. Пофиг, пусть тс свою прогу защищает рутокенами.

я аладин очень давно не использовал, но разве его использование до сих пор требует дополнительных драйверов?

да, это же етокен
зы
если кто чо в этом понимает, помогите мне пожалуйста здесь viewtopic.php?f=5&t=10807