Dann brauche ich also nur den Algorithmus knacken und bin aus dem Schneider?!

Korrekt, aber sobald ich die Assembly einmal habe, brauche ich sie nur entschlüsseln (mußt du ja machen) und dann unverschlüsselt ablegen. Da deine unverschlüsselte Assembly natürlich eine verschlüsselte Assembly erwartet, muß ich nur noch die unverschlüsselte mit dem vom zuvor geknackten Algo erlangten Schlüssel neu verschlüsseln. Voila, ich habe ein lauffähiges Programm auf einem anderen Rechner.

Wozu dann überhaupt die Trennung nach privatem und öffentlichem Schlüssel? Weil der öffentliche übertragen wird?

Im Prinzip ja ...

Statische Analyse! Ich brauche doch deinen Code nicht laufenlassen. Stattdessen analysiere ich ihn und schreibe mir etwas gleichwertiges.

Dann hast du ein Problem, weil dann die Zielgruppe größer und damit dein "Schutz" attraktiver für Cracker wird.

Dann sind die 1000 Leute einfach nur verblödet. 10 EUR kann sich notfalls sogar der Hartz-IVler leisten. Deswegen ja dieser Ansatz: bei moderaten Preisen ist der Aufwand größer einen Kopierschutz zu implementieren und zu warten als das Produkt eigentlich wert ist (also für den einzelnen Käufer). Abgesehen davon kannst du doch sehr gut mit der Moralschiene punkten, denke ich. Wenn du den Käufern erklärst, daß sie Arbeitsplätze vernichten wenn sie das Programm raubkopieren ... allerdings lasse ich mir als ehrlicher Käufer auch nicht gern Antiraubkopierer-Spots bei DVDs aufdrücken. Kann also auch den gegenteiligen Effekt haben, je nachdem wie man es angeht.

Achja, das Programm zu personalisieren (also so wie du das Modell erklärt hast - die Schwächen ignoriert!) dürfte einen abschreckenden Effekt haben, weil du dann ja theoretisch zurückverfolgen könntest, auf wen die Kopie zurückgeht. Bei einem geklauten Laptop hilft die Zurückverfolgung allerdings auch nicht mehr viel ...

Alternativ nutzt den Placebo-Effekt, daß du einfach behauptest einen tollen Schutz mit Wasserzeichen (oder irgendeinem anderen PR-Schlagwort) eingebaut zu haben, wodurch du illegale Kopien zurückverfolgen könntest. Dadurch wird die moralische Schranke wieder höhergelegt.

IMO verlagerst du nur das Problem, behebst es aber nicht. Solange du dem Anwender vertrauen mußt (und das tust du, weil er ja den privaten Schlüssel hat - ob nun explizit oder implizit ist irrelevant), bist du gea....t, weil du ihm ja nicht vertraust, weshalb du Schutzmaßnahmen entwirfst, diese Schutzmaßnahmen aber bereits eine Trust Relationship beinhalten (intrinsisch). Da gibt es auch nichts zu deuteln. Solange du nicht die Kommunikation vom Benutzer wegsperren kannst (bspw. mit TPM) wird es da auch keine wirklich sichere Alernative geben.

Wie du anfänglich sagtest, man kann die Hürden erhöhen, aber wirklich sicherer wird's davon nicht ...

Dann übertrage ich meine Dateien wahlweise über USB, Firewire, COM, LPT oder eben stinknormales Netzwerk (RJ-45).

Interessante Theorien. Wie willst du nun verhindern, daß jemand dein DOS reverst und das von dir bspw. proprietär entwickelte Dateisystem ausliest und die ganz Geschichte in einem Emulator laufen läßt?

Mal ne andere Frage... was ist, wenn ich dein Programm gekauft und installiert habe, und dann aus irgendeinem Grund das Programm neu installieren muss... Du sagtest ja, dass der Key nur einmal übertragen werden kann. Muss ich das Programm dann nochmal bezahlen?

Oder was ist mit ausgetauschter Hardware... Ich baue meinen PC um. Verfällt dann meine Lizenz?

Das klingt plausibel. Und das gefällt mir gar nicht.

Ja, jetzt wo Du es sagst leuchtet es ein: Wenn man irgendwie an die Keys gelangen kann die generiert werden ist das System ausgetrickst. Tja.

Das verschiebt also die Problemstellung etwas. Wie kann man verhindern, dass jemand an die Keys kommt?

Wie so Kopierschutz? 95% aller Programme sind es gar nicht wert kopiert zu werden.

@Insider2004: Wieso der am Ende? Entspricht doch den Tatsachen.

Aus meiner Perspektive bringen Kopierschütze außer Arbeit und Mühe nichts. Erstens schrecken mich Programme die über's Internet aktiviert oder ähnliches müssen generell ab. Beim Betriebssystem ist das etwas anderes, aber bei einem normalen Programm das man vlt einmal am Tag startet sehe ich keinen Sinn dahinter. Sicherlich, jeder Programmierer will seine Software schützen und verkaufen, schließlich muss man ja irgendwie zu Geld kommen. Trotzdem sind aufwendige Kopierschutzmaßnahmen für viele Leute nichts als ein Ärgernis. Angenommen ich installiere mein Betriebssystem neu, dann darf ich den halben Tag damit verbringen Software zu aktivieren bzw freizuschalten über das Internet. Dafür habe ich a) nicht die Zeit und b) keine Lust. Manche Leuten verzichten dann lieber auf die Software, als an aufwendigen Kopierschützen zu scheitern. Weiterhin frage ich mich, warum du verbieten möchtest das ich dein Programm parallel auch auf meinem Notebook installiere? Es soll ja Menschen geben die nicht immer an ein und demselben Rechner arbeiten. Zweitens kannst du, Phoenix, wie du bereits schon in der Art sagtest, dir so viele Mühe geben wie du willst, alles kann gecrackt oder umgangen werden. Ob dein Programm es allerdings wert ist das sich Cracker damit befassen kann ich nicht sagen, da ich es nicht kenne. Selbst große Firmen wie MS oder Adobe geben jährlich tausende von Dollar aus um Kopierschütze zu entwickeln, bereits am Releasetag der entsprechenden Software gibt es bereits Mittel und Möglichkeit den Schutz zu umgehen. Selbst MS hat mittlerweile eingestanden das Raubkopien in gewissem Maße gut für Softwarefirmen sind, sie steigern a) die Bekanntheit und b) die Verbreitung einer Software. Der Kampf gegen Cracker wird höchstwahrscheinlich immer ein verlorener bleiben. Ja ich weiß, du möchtest es Crackern möglichst schwer machen, aber manche Leuten möchten behaupten je stärker der Kopierschutz desto stärker der Wille und das Engagement diesen zu brechen. Je nachdem um was für eine Software es sich handelt würde ich mir also genau überlegen, was für einen Kopierschutz ich tatsächlich einsetzen werde. Just my 50 Cents.

@Phoenix: Du versuchst gerade die Quadratur des Kreises, allerdings siebendimensional
Es geht einfach nicht, fertig. Zumindest heute, und mit Hardware die noch dem User gehört und auch das macht (mehr oder weniger) was der User will.
Tausende Entwickler vor Dir waren auch schon auf der Suche nach diesem heiligen Gral. Und mehr oder weniger alle sind zu dem Schluss gekommen, dass es mehr Sinn macht, dem Kunden entsprechenden Mehrwert durch Support, Goodies, Nachlässe für Upgrades, usw. zu bieten - oder sind bankrott gegangen.

Es gibt auf dem Markt momentan nicht ein Produkt, das nicht schon geknackt wäre, punktum. Kann ich auch gut verstehen, ich hab von kleinauf schon Sachen auseinandergenommen und wieder zusammengebaut, weil mich immer schon interessiert hat, wie ein "Ding" funktioniert, wie es tickt. Ruhm und Ehre sind mir ziemlich schnuppe, für mich ist das Analysieren fremden Codes (nicht falsch verstehen, ich bin kein Cracker, aber ich schau mir halt immer wieder gerne an, wie andere das Problem X angehen und lösen) in etwa so wie für andere ein Museumsbesuch oder ein gutes Buch (dem ich dann aber auch nicht abgeneigt bin *g*). Geistige Nahrung sozusagen

Mein Rat wäre wirklich, dass Du die Energie nicht in einen eh nutzlosen Kopierschutz steckst, sondern in die Verbesserung Deiner Software. Gerade als "kleiner Krauter" ist man enorm auf zufriedene Kunden angewiesen, und Kunden die man gängelt, sind in der Regel schnell nicht mehr so zufrieden

Und eh jetzt irgendwelche Vermutungen aufkommen, mein Windows ist legal, als Officepaket nehm ich Open Office, Mails schreib ich mit Thunderbird und sogar mein mIRC und WinRAR sind registriert
Tools die ich nicht nur als Trial ausprobiere, kaufe ich in der Regel. Einzige Ausnahme bisher ist Numega SoftICE, das wurde mir mal von einem Arbeitgeber gestellt, und ist inzwischen auch nicht mehr kaufbar Ich arbeite aber auch seit geraumer Zeit mehr mit WinDBG

So, genug offtopic, nochmal in Kürze: Schreib lieber ne Arbeit über die Abwägungen Pro/Kontra Kopierschutz. Das ist IMHO ein sehr weites Feld in dem viele Faktoren zu betrachten und abzuwägen sind. Und was das illegale Einsetzen von Software angeht, so ist das IMHO eher ein moralisches Problem. Manche Leute würdens noch "raubkopieren" wenns umsonst wär. Welchen Sinn machts zum Beispiel, Sachen wie die Nokia PhoneSuite in P2P-Börsen zu stellen? Alle jemals relevanten Versionen gibts bei Nokia direkt zum kostenlosen Download, sogar ganz ohne Viren und Trojaner
Schnellerer Download kanns nicht sein

Denk mal drüber nach, vielleicht erscheint Dir das Thema ja auch interessant. Dann liefer ich gerne weitere Ideen, Ansichten usw.

Nachtrag: Ich seh gerade, Balu sieht das ähnlich

Moin Sebastian,

was mir bei diesen ganzen rechnerspezifischen Ideen nicht gefällt:
In Unternehmen, die ihre Software automatisiert verteilen, ist so eine Software i.d.R. nicht einsetzbar, ausser man benötigt davon vielleicht nur eine handvoll Kopien, die dann zur Not manuell installiert werden können.
Bei Software die nahezu auf jeden Rechner soll, ist so eine Personalisierung indiskutabel.
Lass nur mal einen Rechner ausfallen. Dann bekommt der Anwender einen neuen Rechner hingestellt, und seine Pakete installiert, was mit Deiner Software dann nicht ginge, da sie an den Rechner gebunden ist.
Für welche Software entscheidet man sich dann:
Für eine, die Vergleichbares leistet, aber nicht solchen zusätzlichen administratven Aufwand, bis hin zur manuellen Installation, nach sich zieht, denn das ist dann, indirekt, das Geld, was der Kunde für Deinen Kopierschutz zusätzlich aufwenden muss.
Da hierzu wohl die Bereitschaft nur in Sonderfällen da sein dürfte, hast Du durch den Kopierschutz genau das erreicht, was Du vermeiden wolltest: Weniger Umsatz.

Ein anderes Problem...

Wer eine Software verkauft, ist auch (in gewissem Maße) für dessen (kurzfristiges aber auch langfristiges) Funktionieren verantwortlich. Was ist, wenn der Autorisierungsserver down ist und man bei der Installation keinen Freigabeschlüssel geliefert bekommt... darf einen der Käufer dann verklagen? Oder darf er die Software zurückgeben? Was ist, wenn die Firma über den Kopf geht oder der Programmierer einen Autounfall hat... sind dann alle Käufer in den Arsch gekniffen?

Die optimale Lösung ist mE immer noch eine personalisierte Version... man erhält einen "dicken" Lizenz Key (in Form einer DLL oder EXE), in dem verschlüsselt Name und Anschrift des Käufers hinterlegt sind (sowie Anzahl der gekauften Lizenzen... die im Firmennetzwerk vernetzten Computer können sich gegebenenfalls über ihre jeweils nutzbaren Lizenzen einigen). Bei Wahl von "Help/About" kann man sich das dann anschauen... und so als Programm-Verkäufer gegebenenfalls den Übeltäter/Verteiler finden.

Natürlich ist da noch die Gefahr der Key-Generatoren... aber wer (mit halbwegs Gehirn im Kopf) startet eine KEYGEN.EXE, die er von einer ominösen Web-Sites heruntergeladen hat?

Übrigens... natürlich der Key als DLL oder EXE, weil man genauso bescheuert sein muß, um sich eine fremde DLL oder EXE auf den Rechner zu kopieren. Wenn man auf Nummer Sicher gehen will, dann kann man als Programm-Verkäufer ja noch einige "gepatchte" DLLs oder EXEs unter vierdutzend verschiedenen Namen (z.B. Crack-DLL für Programm-X) im e-Mule-Netz lancieren -- um das Angebot an Cracks ein wenig zu verwässern. Diese könnten dann (bei unerlaubter Anwendung) den illegalen Programmnutzer verwarnen... oder ihm (wenn man bösartiger gelagert ist) gleich die Festplatte leerfegen! Das schreckt ab!

Letzteres wäre Computersabotage und zumindest sehr fragwürdig Bleibt natürlich das Problem, das nachzuweisen, aber strafbar isses auf jeden Fall.

... wobei ich das bei größeren Firmen auch eher glauben würde ...

Doch. Sogar einige. Die Windows-XP-Aktivierung wurde noch nicht geknackt, sondern bisher nur umgangen (und da sind meines Wissens aktuell alle Löcher gestopft). IDA 5.0 ist meines Wissens nach auch noch nicht geknackt, was unter anderem daran liegt, daß der Entwickler es nicht als Demo rausgibt und außerdem ältere Versionen inzwischen frei verfügbar sind.

Wurde sogar eingestellt, wie CompuWare inzwischen verlautbaren ließ. Aber das nur so nebenbei. WinDbg finde ich auch um Längen besser, zumal bei KM-Code.

OpenOffice.org wird auch ganz offiziell über P2P verteilt ... genau wie diverse Linux-Distros. Das ist mehr ein Problem von dir: du meinst P2P impliziert Raubkopieren ...

Guter Einwand.

Jap. Was wölltest du auch machen, wenn niemand mehr greifbar ist.

... nicht bei gestohlenen Laptops.

Jeder der einen Disassembler hat und was davon versteht oder diverse virtuelle Maschinen zu laufen hat ...

Nochmal zum Thema
Übrigens sind Dongles auch keine Alternative. Alle Dongles die ich kenne, benutzen irgendwie einen KM-Treiber (ansonsten müßte man ja auch immer als Admin arbeiten und bei manchen ginge es selbst dann nicht). Man kann mit einfachsten Mitteln einen Filtertreiber schreiben, der die Kommunikation des eigentlichen Treibers "ausspäht" und dann die Funktionalität des ursprünglichen Treibers selbst implementieren (zumeist werden solche Hersteller ohnehin öffentlich verfügbare PK-Algorithmen benutzen). Der Witz dran ist, daß damit sogar verschlüsselte Kommunikation zwischen Dongle und Treiber knackbar ist. Das nur als anschauliches Beispiel.