je cherche le moyen de générer une clé de licence pour un shareware mais je
ne suis pas un expert en sécurité. Avez-vous des indications à me donner ?
j'ai cru comprendre qu'il était préférable d'utiliser des variables
statiques dans une fonction plutôt que des variables globales ? Est-ce que
le cryptage en md5 est fiable ? comment savoir si mon "keygen" est fiable ?
> Distribue une version limitée qui ne *contient pas* toutes les fonctionnalités, et sur la commande, tu l'envoie par mail (si c'est petit) ou CD (si c'est gros) aux clients qui ont payé. C'est simple, ne nécessite que peu de choses dans le code
AMHA, simple peut être, mais hyper contraignant.Et puis rien n'empêche un gugus de mettre sa version complète dans un zip sur un site en dowload...
> Distribue une version limitée qui ne *contient pas* toutes les
fonctionnalités, et sur la commande, tu l'envoie par mail (si c'est petit)
ou CD (si c'est gros) aux clients qui ont payé. C'est simple, ne nécessite
que peu de choses dans le code
AMHA, simple peut être, mais hyper contraignant.Et puis rien n'empêche un
gugus de mettre sa version complète dans un zip sur un site en dowload...
> Distribue une version limitée qui ne *contient pas* toutes les fonctionnalités, et sur la commande, tu l'envoie par mail (si c'est petit) ou CD (si c'est gros) aux clients qui ont payé. C'est simple, ne nécessite que peu de choses dans le code
AMHA, simple peut être, mais hyper contraignant.Et puis rien n'empêche un gugus de mettre sa version complète dans un zip sur un site en dowload...
Aurélien Regat-Barrel
Ca me permet de poser une question qui me trotte dans la tête depusi longtemps. Imaginons que je fasse un procédé d'enregistrement qui signe l'exe, c.a.d a partir de l'exe je retrouve l'utilisateur enregistré et ses coordonnées (il a payé). Si ma licence stipule qu'il ne doit pas refourguer le soft sous peine de poursuites etc... et que je chope sur internet un exe "full version" en free download, puis-je attaquer en justice le responsable et lui demander des dédomagements ?
Ca me permet de poser une question qui me trotte dans la tête depusi
longtemps. Imaginons que je fasse un procédé d'enregistrement qui signe
l'exe, c.a.d a partir de l'exe je retrouve l'utilisateur enregistré et ses
coordonnées (il a payé). Si ma licence stipule qu'il ne doit pas refourguer
le soft sous peine de poursuites etc... et que je chope sur internet un exe
"full version" en free download, puis-je attaquer en justice le responsable
et lui demander des dédomagements ?
Ca me permet de poser une question qui me trotte dans la tête depusi longtemps. Imaginons que je fasse un procédé d'enregistrement qui signe l'exe, c.a.d a partir de l'exe je retrouve l'utilisateur enregistré et ses coordonnées (il a payé). Si ma licence stipule qu'il ne doit pas refourguer le soft sous peine de poursuites etc... et que je chope sur internet un exe "full version" en free download, puis-je attaquer en justice le responsable et lui demander des dédomagements ?
Olivier ANSQUER
Bonjour,
Il faudrait générer en mémoire le code d'une partie de l'application et que cette génération se fasse à partir de données encryptée avec la clé, en supposant que chaque utilisateur reçoivent un couple code/clé qui lui est propre.
J'ai mis en place quelque chose dans ce genre en m'inspirant de cet article : http://www.codeproject.com/library/ssdsdk.asp?target=protection Une partie du code de l'exe est crypté et je le décrypte à l'éxécution en me basant sur la clé saisie par l'utilisateur (clé qui lui est propre et à son nom). Si la clé est incorrecte, il décrypte n'importe quoi et il s'en suit un plantage quand il tente d'exécuter cette partie du code. La clé n'est donc jamais réellement vérifiée... Je sais bien sûr qu'il n'y a pas de solution, que tout programme est crackable et que ce système vaut ce qu'il vaut... mais il me semble pas mal pour décourager l'utilisateur lambda (et un peu plus).
Cordialement,
Olivier
Bonjour,
Il faudrait générer en mémoire le code d'une partie
de l'application et que cette génération se fasse à
partir de données encryptée avec la clé, en supposant
que chaque utilisateur reçoivent un couple code/clé qui
lui est propre.
J'ai mis en place quelque chose dans ce genre en m'inspirant de cet article
:
http://www.codeproject.com/library/ssdsdk.asp?target=protection
Une partie du code de l'exe est crypté et je le décrypte à l'éxécution en me
basant sur la clé saisie par l'utilisateur (clé qui lui est propre et à son
nom). Si la clé est incorrecte, il décrypte n'importe quoi et il s'en suit
un plantage quand il tente d'exécuter cette partie du code. La clé n'est
donc jamais réellement vérifiée...
Je sais bien sûr qu'il n'y a pas de solution, que tout programme est
crackable et que ce système vaut ce qu'il vaut... mais il me semble pas mal
pour décourager l'utilisateur lambda (et un peu plus).
Il faudrait générer en mémoire le code d'une partie de l'application et que cette génération se fasse à partir de données encryptée avec la clé, en supposant que chaque utilisateur reçoivent un couple code/clé qui lui est propre.
J'ai mis en place quelque chose dans ce genre en m'inspirant de cet article : http://www.codeproject.com/library/ssdsdk.asp?target=protection Une partie du code de l'exe est crypté et je le décrypte à l'éxécution en me basant sur la clé saisie par l'utilisateur (clé qui lui est propre et à son nom). Si la clé est incorrecte, il décrypte n'importe quoi et il s'en suit un plantage quand il tente d'exécuter cette partie du code. La clé n'est donc jamais réellement vérifiée... Je sais bien sûr qu'il n'y a pas de solution, que tout programme est crackable et que ce système vaut ce qu'il vaut... mais il me semble pas mal pour décourager l'utilisateur lambda (et un peu plus).
Cordialement,
Olivier
Manuel Leclerc
AMcD® a écrit :
Au fait, au passage, MD5 est cracked depuis des lustres.
Tu crois ?
AMcD® a écrit :
Au fait, au passage, MD5 est cracked depuis des lustres.
Au fait, au passage, MD5 est cracked depuis des lustres.
Tu crois ?
Manuel Leclerc
Olivier ANSQUER a écrit :
http://www.codeproject.com/library/ssdsdk.asp?target=protection Une partie du code de l'exe est crypté et je le décrypte à l'éxécution en me basant sur la clé saisie par l'utilisateur (clé qui lui est propre et à son nom).
Je n'ai pas été lire l'URL, mais le code crypté est-il encodé différemment pour chaque utilisateur ?
Si c'est le cas, et si l'algo de cryptage est sérieux, alors, le crackage deviens vraiment très délicat. Mon humble avis, c'est qu'un client indélicat peut mettre une version déplombée sur le net (qui ne l'identifie pas). Mais quelqu'un qui n'a pas de clé NE peut PAS déplomber.
Olivier ANSQUER a écrit :
http://www.codeproject.com/library/ssdsdk.asp?target=protection
Une partie du code de l'exe est crypté et je le décrypte à
l'éxécution en me basant sur la clé saisie par l'utilisateur (clé qui
lui est propre et à son nom).
Je n'ai pas été lire l'URL, mais le code crypté est-il encodé
différemment pour chaque utilisateur ?
Si c'est le cas, et si l'algo de cryptage est sérieux, alors,
le crackage deviens vraiment très délicat. Mon humble avis,
c'est qu'un client indélicat peut mettre une version déplombée
sur le net (qui ne l'identifie pas). Mais quelqu'un qui n'a
pas de clé NE peut PAS déplomber.
http://www.codeproject.com/library/ssdsdk.asp?target=protection Une partie du code de l'exe est crypté et je le décrypte à l'éxécution en me basant sur la clé saisie par l'utilisateur (clé qui lui est propre et à son nom).
Je n'ai pas été lire l'URL, mais le code crypté est-il encodé différemment pour chaque utilisateur ?
Si c'est le cas, et si l'algo de cryptage est sérieux, alors, le crackage deviens vraiment très délicat. Mon humble avis, c'est qu'un client indélicat peut mettre une version déplombée sur le net (qui ne l'identifie pas). Mais quelqu'un qui n'a pas de clé NE peut PAS déplomber.
Noé
"AMcD®" a écrit dans le message de news:4033dee8$0$28440$
Au fait, au passage, MD5 est cracked depuis des lustres.
C'est la blague du jour ? Sais-tu vraiment ce qu'est une fonction de hachage ?
N.O.E.
"AMcD®" <arnold.mcdonald@free.fr> a écrit dans le message de
news:4033dee8$0$28440$636a15ce@news.free.fr...
Au fait, au passage, MD5 est cracked depuis des lustres.
C'est la blague du jour ? Sais-tu vraiment ce qu'est une fonction de hachage
?
"AMcD®" a écrit dans le message de news:4033dee8$0$28440$
Au fait, au passage, MD5 est cracked depuis des lustres.
C'est la blague du jour ? Sais-tu vraiment ce qu'est une fonction de hachage ?
N.O.E.
AMcD®
Noé wrote:
C'est la blague du jour ? Sais-tu vraiment ce qu'est une fonction de hachage ?
N.O.E.
Oui, je sais ce qu'est une fonction de hachage, tu veux des cours peut-être ? Encore un matamore qui sait tout ! Par cracked, j'entends que des lacunes ont été montrées. Et pas des petites. Faut se tenir au courant un peu, parce que ça ne date pas d'aujourd'hui...
Quelques notes :
- Tom Berson (1992)
Differential Cryptanalysis mod 2^32 with Applications to MD5. In R. Rueppel (ed.) Advances in Cryptology -- Proceedings of Eurocrypt '92, Lecture Notes in Computer Science, Vol. 658, pages 71-80, Springer Verlag, 1992
- Bert den Boer, Antoon Bosselaers (1993)
Collisions for the compression function of MD5
- Hans Dobbertin (1996)
Cryptanalysis of MD5 Compress (1996)
Et plutôt que de me chercher des noises, réfléchis sur cette remarque de William Stallings :
"from a cryptanalytic point of view, MD5 must now be considered vulnerable".
Si t'arrives à suivre, fais des recherches sur les attaques par brute force dites birthday attacks. Enfin, apprends que si on a créé SHA-1 ou RIPEMD-160, c'est a cause des faiblesses de MD5.
Je ne te salue pas.
-- AMcD®
http://arnold.mcdonald.free.fr/
Noé wrote:
C'est la blague du jour ? Sais-tu vraiment ce qu'est une fonction de
hachage ?
N.O.E.
Oui, je sais ce qu'est une fonction de hachage, tu veux des cours peut-être
? Encore un matamore qui sait tout ! Par cracked, j'entends que des lacunes
ont été montrées. Et pas des petites. Faut se tenir au courant un peu, parce
que ça ne date pas d'aujourd'hui...
Quelques notes :
- Tom Berson (1992)
Differential Cryptanalysis mod 2^32 with Applications to MD5. In R. Rueppel
(ed.) Advances in Cryptology -- Proceedings of Eurocrypt '92, Lecture Notes
in Computer Science, Vol. 658, pages 71-80, Springer Verlag, 1992
- Bert den Boer, Antoon Bosselaers (1993)
Collisions for the compression function of MD5
- Hans Dobbertin (1996)
Cryptanalysis of MD5 Compress (1996)
Et plutôt que de me chercher des noises, réfléchis sur cette remarque de
William Stallings :
"from a cryptanalytic point of view, MD5 must now be considered vulnerable".
Si t'arrives à suivre, fais des recherches sur les attaques par brute force
dites birthday attacks. Enfin, apprends que si on a créé SHA-1 ou
RIPEMD-160, c'est a cause des faiblesses de MD5.
C'est la blague du jour ? Sais-tu vraiment ce qu'est une fonction de hachage ?
N.O.E.
Oui, je sais ce qu'est une fonction de hachage, tu veux des cours peut-être ? Encore un matamore qui sait tout ! Par cracked, j'entends que des lacunes ont été montrées. Et pas des petites. Faut se tenir au courant un peu, parce que ça ne date pas d'aujourd'hui...
Quelques notes :
- Tom Berson (1992)
Differential Cryptanalysis mod 2^32 with Applications to MD5. In R. Rueppel (ed.) Advances in Cryptology -- Proceedings of Eurocrypt '92, Lecture Notes in Computer Science, Vol. 658, pages 71-80, Springer Verlag, 1992
- Bert den Boer, Antoon Bosselaers (1993)
Collisions for the compression function of MD5
- Hans Dobbertin (1996)
Cryptanalysis of MD5 Compress (1996)
Et plutôt que de me chercher des noises, réfléchis sur cette remarque de William Stallings :
"from a cryptanalytic point of view, MD5 must now be considered vulnerable".
Si t'arrives à suivre, fais des recherches sur les attaques par brute force dites birthday attacks. Enfin, apprends que si on a créé SHA-1 ou RIPEMD-160, c'est a cause des faiblesses de MD5.
Je ne te salue pas.
-- AMcD®
http://arnold.mcdonald.free.fr/
Johann Dantant
"AMcD®" a écrit dans le message de news:4034139c$0$24963$
Par cracked, j'entends que des lacunes ont été montrées. Et pas des
petites.
Plutôt que du terme assez flou de lacunes, tu pourrais expliquer qu'effectivement la recherche de collisions sur MD5 occupe des chercheurs depuis de nombreuses années et que les résultats ont justifiés l'élaboration de SHA-1. Certes les "nouvelles applications" ont tout intérêt à utiliser SHA-1 préférentiellement à MD5, mais cela n'empêche pas un grand nombre d'applications existantes de démeurer "robustes" malgré le fait qu'elles utilisent MD5. Le terme "cracké" est donc un tantinet exagéré, surtout dans le contexte d'un shareware à quelques dizaines euros contre lequel très peu de puissance CPU risque d'être braquée...
-- J.D. Ce que je comprends pas, c'est pourquoi leurs votes compte plus ? Et surtout, ca leur rapporte QUOI ???? Putain faut vraiment être CON, grave. -+- A in GNU - La Cabale, c'est plus FORT que toi ! -+-
"AMcD®" <arnold.mcdonald@free.fr> a écrit dans le message de
news:4034139c$0$24963$626a14ce@news.free.fr...
Par cracked, j'entends que des lacunes ont été montrées. Et pas des
petites.
Plutôt que du terme assez flou de lacunes, tu pourrais expliquer
qu'effectivement la recherche de collisions sur MD5 occupe des chercheurs
depuis de nombreuses années et que les résultats ont justifiés l'élaboration
de SHA-1. Certes les "nouvelles applications" ont tout intérêt à utiliser
SHA-1 préférentiellement à MD5, mais cela n'empêche pas un grand nombre
d'applications existantes de démeurer "robustes" malgré le fait qu'elles
utilisent MD5. Le terme "cracké" est donc un tantinet exagéré, surtout dans
le contexte d'un shareware à quelques dizaines euros contre lequel très peu
de puissance CPU risque d'être braquée...
-- J.D.
Ce que je comprends pas, c'est pourquoi leurs votes compte plus ?
Et surtout, ca leur rapporte QUOI ????
Putain faut vraiment être CON, grave.
-+- A in GNU - La Cabale, c'est plus FORT que toi ! -+-
"AMcD®" a écrit dans le message de news:4034139c$0$24963$
Par cracked, j'entends que des lacunes ont été montrées. Et pas des
petites.
Plutôt que du terme assez flou de lacunes, tu pourrais expliquer qu'effectivement la recherche de collisions sur MD5 occupe des chercheurs depuis de nombreuses années et que les résultats ont justifiés l'élaboration de SHA-1. Certes les "nouvelles applications" ont tout intérêt à utiliser SHA-1 préférentiellement à MD5, mais cela n'empêche pas un grand nombre d'applications existantes de démeurer "robustes" malgré le fait qu'elles utilisent MD5. Le terme "cracké" est donc un tantinet exagéré, surtout dans le contexte d'un shareware à quelques dizaines euros contre lequel très peu de puissance CPU risque d'être braquée...
-- J.D. Ce que je comprends pas, c'est pourquoi leurs votes compte plus ? Et surtout, ca leur rapporte QUOI ???? Putain faut vraiment être CON, grave. -+- A in GNU - La Cabale, c'est plus FORT que toi ! -+-
Jean-François GAZET
> Quasi tous les softs se craquent en remplaçant un JE par un JNE (ou inversement).
Et aprés ces modifs, comment recompile-t-on l'exe ? je vais essayer de cracker mon programme :-))
Dans le code C++, on peut pas éviter les "return true" ou "false" ? Un "if", je suppose, que c'est pareil : "si vrai, sinon"...
> Quasi tous les softs se craquent en remplaçant un JE par un JNE (ou
inversement).
Et aprés ces modifs, comment recompile-t-on l'exe ?
je vais essayer de cracker mon programme :-))
Dans le code C++, on peut pas éviter les "return true" ou "false" ?
Un "if", je suppose, que c'est pareil : "si vrai, sinon"...
> Quasi tous les softs se craquent en remplaçant un JE par un JNE (ou inversement).
Et aprés ces modifs, comment recompile-t-on l'exe ? je vais essayer de cracker mon programme :-))
Dans le code C++, on peut pas éviter les "return true" ou "false" ? Un "if", je suppose, que c'est pareil : "si vrai, sinon"...
Dominique Vaufreydaz
Bonjour,
Oui, oui. Tu peux toujours rêver. Le gars dira qu'on lui a volé son matériel et que c'est le voleur qui l'a mis sur le Net. Qui plus est, faut pas prendre les hackers pour des idiots, si ton logiciel a de l'intérêt, ton algo sera reversé et patché.
De toute facon, la seule solution est celle qui va arrivee et qui commence a etre travaillee : Palladium.
Doms. -- Impose ta chance, serre ton bonheur et va vers ton risque. A te regarder, ils s'habitueront. René Char, Les Matinaux. ---- http://Dominique.Vaufreydaz.free.fr/ http://TitchKaRa.free.fr/ http://logiciels.ntfaqfr.com/
Bonjour,
Oui, oui. Tu peux toujours rêver. Le gars dira qu'on lui a volé son matériel
et que c'est le voleur qui l'a mis sur le Net. Qui plus est, faut pas
prendre les hackers pour des idiots, si ton logiciel a de l'intérêt, ton
algo sera reversé et patché.
De toute facon, la seule solution est celle qui va arrivee et qui commence
a etre travaillee : Palladium.
Doms.
--
Impose ta chance, serre ton bonheur et va vers ton risque.
A te regarder, ils s'habitueront.
René Char, Les Matinaux.
----
http://Dominique.Vaufreydaz.free.fr/
http://TitchKaRa.free.fr/
http://logiciels.ntfaqfr.com/
Oui, oui. Tu peux toujours rêver. Le gars dira qu'on lui a volé son matériel et que c'est le voleur qui l'a mis sur le Net. Qui plus est, faut pas prendre les hackers pour des idiots, si ton logiciel a de l'intérêt, ton algo sera reversé et patché.
De toute facon, la seule solution est celle qui va arrivee et qui commence a etre travaillee : Palladium.
Doms. -- Impose ta chance, serre ton bonheur et va vers ton risque. A te regarder, ils s'habitueront. René Char, Les Matinaux. ---- http://Dominique.Vaufreydaz.free.fr/ http://TitchKaRa.free.fr/ http://logiciels.ntfaqfr.com/
