Algoritm sistem licentiere

Nu e vorba doar de stocarea cheilor. Trebuie sa previ si simpla "comentare" a partii din cod care face validarea, programul putand fi facut sa creada ca totul e roz fara sa verifice nimic.

red46, on 17 aprilie 2017 - 21:49, said:

Cum să decriptezi MD5? De când are revers?
Ăia care "decriptează" on-line se laudă cu baze de date de 'catralioane' de MD5 hashuri.

jobist, on 18 aprilie 2017 - 18:38, said:

red46, on 18 aprilie 2017 - 11:19, said:

Edited by red46, 18 April 2017 - 19:10.

Nu iti trebuie decit o baza de date cu 100 milioane de hash-uri pentru un ID de 8 cifre. Ca idee, nu ca are relevanta in situatia de fata.

Oricum algoritmul e extrem de slabut, chiar si fara vreo interventie asupra programului in sine (si fara aflarea cheii de encriptare, altminteri stocata in program). Un ID anume asteapta exact un singur raspuns de la server, atit vreme cit ai un raspuns valid poti sa-l redirectezi la un server de-al tau care ii da raspunsul si bafta.

O să revin cu o abordare practică curând.
Nu prea cred că ați înțeles ce doresc să fac.
Singura vulnerabilitate va rămâne doar codul aplicației.

Edited by red46, 18 April 2017 - 19:35.

orice e in codul aplicatiei = se poate hackui

ca sa fii mai sigur poti sa faci ca la banci,
2step authentification, cod trimis prin SMS care expira in 1min

Si care utilizator din aceasta galaxie o sa accepte autentificare cu token expirabil ca sa intre intr-o aplicatie oarecare?

red46, on 18 aprilie 2017 - 19:24, said:

Dacă tu îl numești sistem de licențiere, dar de fapt vrei să faci altceva, e problema ta de exprimare, nu a noastră de înțelegere.

La fel cum, dacă tu numești hash criptare, e problema ta de a fi pe lângă subiectul în care vrei să activezi.

red46, on 18 aprilie 2017 - 19:24, said:

Daca esenta aplicatiei tale sta in client si nu server, de ce nu te gandesti la solutii ce nu ofera codul sursa pe client! Un plugin nativ pentru browser (cu permisiunea utilizatorului), o aplicatie desktop dar care se actualizeaza singura via web etc. astfel incat sa mai elimini din vulnerabilitate.

Edited by neagu_laurentiu, 19 April 2017 - 07:05.

Am înțeles, ai zis că ai greșit, dar problema de fundament pare să fie recurentă la tine: nu te exprimi de ca și cum ai fi stăpân pe cunoștințele tale.

OriginalCopy, on 19 aprilie 2017 - 07:03, said:

E sistem de licențiere. Mă refeream la faptul că nu ați înțeles exact cum va funcționa.
hash = text criptat. La asta m-am referit.

La asta s-a referit si OC, tu nu stapanesti termenii.
Textul criptat poate fi decriptat, hash-ul nu.

red46, on 19 aprilie 2017 - 17:07, said:

pentru că n-ai explicat că să înțeleagă cineva ceva.
Așa cum ți s-a mai spus nu ai vocabularul necesar, ceea ce denotă și lipsa cunoștințelor.

Am abandonat ideea.
Am terminat deja un exemplu, însă se poate trece foarte simplu de orice verificare editând câteva linii de cod.

Deci e inutil.

Edited by red46, 29 April 2017 - 16:32.

Ca și idee, algoritmul final era acesta:
Algoritm de criptare: AES128 ECB (nu am folosit CBC pentru că rezultatul rămâne mereu același și diferă în funcție de ID)
Server-side:
managekeys.php -> admin panel pentru a crea chei de licență și pentru a le șterge + evidență.
addkey.php -> funcție de adăugare a cheii în baza de date.
check.php -> verifică la cerere dacă textul criptat este prezent în baza de date, apoi criptează ID-ul specific cheii și alte date (ex: "123456782017/04/272017/09/022017/05/01   = ID unic din 8 cifre + data creării + data expirării + data serverului (pentru a preveni prelungirea licenței prin schimbarea datei locale)

Client-side:
Activarea se face printr-un fișier INI care conține numele posesorului și cheia.
1.Aplicația verifică dacă este necesară selectarea licenței printr-o variabilă setată într-un fișier de configurare (oricum licența va fi verificată la fiecare pornire, însă acea variabilă îi spune programului dacă este cazul să pună utilizatorul să-și adauge licența), apoi se verifică integritatea fișierului de licență, îl încarcă, și în cele din urmă obține informațiile necesare.
2.Se verifică existența cheii de licență prin intermediul fișierului "check.php", iar dacă rezultatul este cel așteptat (niște date criptate folosind AES128) se trece la următorul pas. Dacă cheia nu este validă, scriptul va afișa un text generat random în Base64.
3.Se decriptează rezultatul primit de la server, apoi se separă datele (primele 8 caractere reprezinta ID-ul, celelalte 10 caractere reprezintă data creării cheii, ș.a.).
4.Se decriptează cheia din fișierul de licențiere (cheia inițială de licență), apoi se compară primele 8 caractere din rezultatul primit de la server cu rezultatul cheii decriptate. Dacă cele 2 nu sunt egale, programul va afișa o eroare și se va închide.
5.Dacă cele 2 ID-uri sunt egale, se va trece la verificarea stării licenței (se compară data expirării cu data serverului) . Dacă data expirării este mai mică decât data serverului, atunci programul va afișa un mesaj de atenționare și se va închide.

Licența va mai fi verificată și în alte părți ale programului (de exemplu secțiunea About=Despre), nu doar la pornire. (pentru a mai complica puțin treaba).

Edited by red46, 29 April 2017 - 17:06.

red46, on 29 aprilie 2017 - 17:02, said:

Daca ai in executabil cheia necesara pentru a decripta informatia, pune atacatorul mana pe ea in cateva minute.

red46, on 17 aprilie 2017 - 21:49, said:

Câteva idei:

* Oferă părțile importante ale aplicației ca SaaS. Implică operațiuni mai lente prin rețea, deci asigură-te că merită latența. De exemplu, un API către cel mai inovativ algoritm din aplicație
* Împachetează algoritmul din punctul anterior într-un modul PHP. Sistemul tot poate fi hackuit, dar ridici mult nivelul
* O combinație a punctelor precedente: primul punct ca soluție demo sau pentru clienți care nu plătesc mult, al doilea pentru clienți deja fidelizați, care nu vor să depindă de conexiunea la serverul tău SaaS

Treburile cu criptografia sunt interesante și importante, și poți în continuare să adopți ceva din ele în cadrul soluțiilor de mai sus, însă ele sunt "doar detalii". Deciziile de arhitectură/business sunt cele 3 de mai sus.

Aveți în atașament abordarea practică scrisă în C#.
De aici puteți lua fișierele de licență: https://p2ptv.ml/vserver/getkey.php .

Algoritmul a mai suferit mici modificări pe parcurs.
Executabilul poate fi detectat ca virus din cauza faptului că am folosit un obfuscator de cod pentru a îngreuna puțin munca.

Virustotal: https://virustotal.c...sis/1494685625/

Edited by red46, 13 May 2017 - 16:28.