Ja, kannst du frei benutzen, ein Hinweis in deiner Aboutbox wäre schön.

Zu deinem anderen Problem:

Was hindert dich daran in deinem Lizenzmanager die Daten des Kunden mit einem weiteren Schlüssel zu verschlüsseln. Dieser Schlüssel ist nur dir bekannt, also in deinem Lizenzmanger gespeichert und verlässt euren Server ja niemals. Diese verschl. Kundendaten werden nun zusammen mit deinem RegKey gespeichert und zum Kunden gesendet. Sollte dieser bösartig sein/ein Cracker und du diesen RegKey im WEB finden so lädst du diesen in deinen Lizenzmanager und entschlüsselt den Kundendatenblock.

Das Problem mit deinem ApplicationKey kanst du niemals sicher lösen wenn du auf reine Software als Schutz aufbaust. Selbst wenn du Public Key Kryptographie benutzen würdest so könnte ein Cracker einfach deinen Public-ApplicationKey durch einen eigenen austauschen OHNE das er irgendwas an deinem Code hacken müsste (sprich er versucht garnicht deinen Schutz zu deaktivieren).

Die Idee von Zeit zu Zeit die Lizenzen deiner Kunden per INet zu verifizieren ist sehr sinnvoll und defakto die einzigste Möglichkeit für dich ein sicheres System zu bauen das aus reiner Sofwtare besteht. Der Grundgedanke ist es nun das dein INet Server aus Sicht deiner Kunden ja einbruchsicher ist. Ergo kannst du wichtige Schlüssel auch auf diesem Server benutzen die keinem anderen zur Verfügung stehen.

Das funktioniert dann aber nur wenn deine Sofwtare zb. wichtige Anwendungsdaten aus dem INet nachlädt. Dh. der Kunde ist gezwungen von deinem Server Daten nachzuladen die dann natürlich auf den Kunden und seinem RegKey zugeschnitten verschlüsselt wurden. Also nur legal registrierte Kunden können diese wichtigen Daten nachladen.

Bei einem solchen System macht die Anwendung von PublicKey Kryptographie aber wiederum Sinn. Denn nur ein Kunde mit gültigem digital signiertem RegKey kann auch deine Daten aus dem INet saugen. Ein Cracker der diesen Key in deiner Sofwtare ausgetauscht hat wird dagagen keine gültigen RegKeys mehr erzeugen können.

Eine Software die gepatcht wurde so das die RegKey Abfrage deaktiviert wurde kanne ebenfalls keine Daten aus dem INet nachladen, da ja kein gültiger RegKey vorhanden ist. Der RegKey besteht also aus den Kundendaten, bestimmte Computermerkmalen wie MAC Addresse etc,pp und wurde mit deinem Privaten Key des Lizenzmanagers digital unterschrieben. Damit kannst also nur DU eine solche Signature erzeugen. Bei jedem Download von eurem Server muß der Kunde seinen RegKey vorweisen/senden und deine Software überprüft ob dieser RegKey eine gültige Signatur deines Lizenzmanagers enthält. Zur Überprüfung dieser Signature benötigst du nur den PublicKey deines Schlüssel. Dh. die Sofwtare die den Zugriff auf die Dateien eures Servers über den RegKey des Kunden gestattet kennt selber nicht den Privaten Schlüssel deines Lizenzmanager. Somit sind verteilte Anwendungen möglich, und der Downloadserver selber uß garnichtmal euer eigener Server sein.

Gruß Hagen