Programm mit USB-Dongle schützen?

DingDongle

Ich überlege gerade, wieso Dongles eine der derzeit sichersten Technologien zum Schutz von Softwarediebstahl sein sollen?

Siehe hier: http://de.wikipedia.org/wiki/Dongle

Ein Dongle gilt als eine der sichersten Kopierschutzmaßnahmen, da der Dongle meist nicht oder nur unter erheblichem Aufwand kopiert werden kann.

Ist es nicht möglich, den Dongle einfach zu kopieren? Wie man auch von SD-Karten ein vollständiges Backup machen kann?

Für Chinesen wäre es doch kein Problem, einen Originaldongle tausendfach zu klonen und zusammen mit der gebrannten CD mit der Software für 5$ zu verkaufen?

knivil

Ich überlege gerade, wieso Dongles eine der derzeit sichersten Technologien zum Schutz von Softwarediebstahl sein sollen?

Weil Software an Hardware gekoppelt ist.

Ist es nicht möglich, den Dongle einfach zu kopieren?

Schwierig. Es muss keine Speicherkarte oder sonstiges verbaut sein, was man kopieren kann.

Für Chinesen wäre es doch kein Problem, einen Originaldongle tausendfach zu klonen und zusammen mit der gebrannten CD mit der Software für 5$ zu verkaufen?

Unmoeglich ist nichts. Nur muss es eben billiger sein als 5 Euro. Warum das aber auf Chinesen beschraenkt sein soll, finde ich diskriminierend.

DingDongle

Die Chinesen waren ein gängiges Beispiel. Von mir aus auch Russen oder Deutsche. Ich kenne genug Produkte, wo der Dongle keinen Schutz bieten konnte. Z.B. Cubase, da wird er einfach emuliert.
Wodurch unterscheiden sich "professionelle Dongles" von normalen USB-Sticks?

knivil

USB ist nur die Schnittstelle, deswegen kann ein Dongle ein USB-Stick sein.

Ansonsten: Welche deiner Fragen wird vom Wikipedia-Artikel nicht beantwortet?

Ich kenne genug Produkte, wo der Dongle keinen Schutz bieten konnte. Z.B. Cubase, da wird er einfach emuliert.

Genug? Eins! Auch ist unklar, wann der Emulator nach der Veroeffentlung erschienen ist. Desweiteren moechte man gern Features wie Abwaertskompatibilitaet, Lizensmanagment, etc ... das sind politische als technische Kriterien, die Dongles weniger sicher machen als moeglich.

Xin

knivil schrieb:

Ich kenne genug Produkte, wo der Dongle keinen Schutz bieten konnte. Z.B. Cubase, da wird er einfach emuliert.

Genug? Eins! Auch ist unklar, wann der Emulator nach der Veroeffentlung erschienen ist. Desweiteren moechte man gern Features wie Abwaertskompatibilitaet, Lizensmanagment, etc ... das sind politische als technische Kriterien, die Dongles weniger sicher machen als moeglich.

Unser Produkt wird durch einen Dongle "geschützt".

Googlet man nach "<Produkt> Download", findet sich auf Platz 1 bis 4 unsere eigene Website und auf Platz 5 bis 10 bereits ausreichend Möglichkeiten für sagen wir "zeitlich und funktionell unbeschränkte Testversionen", die irgendwie auf dem berüchtigten Parkett oder im berühmten Abwasserkanal liegen geblieben sind.
Das ist so natürlich nicht gewünscht. Bisher sind es zumindest keine aktuellen Versionen.

Wir stellen allerdings keine Software für normale Heimbenutzer her. Die Software ist sehr teuer, entsprechend muss sie beim Kunden noch mehr Geld einsparen. Und da sie offenbar genug Geld einspart, zahlen die Kunden freiwillig, denn so dürfen sie ja auch Ansprüche stellen, wie unsere Software in ihrem Unternehmen noch mehr Geld sparen könnte.

Ich vermute mal, dass die illegalen Downloadmöglichkeiten eher positive Effekte haben, wenn Studenten sich schonmal in die Professional-Version einarbeiten und dann mit entsprechenden Vorkenntnissen in Firmen kommen und dann dort Konkurrenzsoftware vorfinden, die umständlicher zu bedienen ist, also dort entsprechend Lizenzen für unser Produkt anregen.
Eiskalte Akquise quasi. ,-)

decimad

Ich möchte noch kurz anmerken, dass Dongles in den heutigen virtualisierten Serverumgebungen ein echtes Ärgernis für den Kunden sein können. Auch wenn die Virtualisation aufgrund aktueller Ereignisse vielleicht etwas gebremst wurde... Und eigentlich sind sie auch schon so ein Ärgernis für den Kunden...

hustbaer

decimad schrieb:

Auch wenn die Virtualisation aufgrund aktueller Ereignisse vielleicht etwas gebremst wurde...

Auf was beziehst du dich da? Ich hab' kein Ereignis mitbekommen auf das diese Aussage passen würde. Das Thema interessiert mich aber, wäre nett wenn du ein paar Stichworte/Links dazu schreiben könntest

Und dass Dongles dort so problematisch sind, liegt auch nur daran, dass der Support für USB Geräte bei einigen VM Lösungen nicht gut genug ist.
Wenn es egal ist auf welchem Host der Dongle angesteckt ist, und der Hypervisor das Gerät automatisch immer in der VM einblenben kann wo es gebraucht wird (notfalls über's Netz, falls die VM gerade nicht auf dem selben Host läuft wo das Gerät angesteckt ist), dann ist der Dongle auch kein Problem.

Dongles gab es lange bevor Virtualisierung sich breitflächig durchgesetzt hat. Ich sehe das also eher als Schwachstelle der VM Lösungen.

Und eigentlich sind sie auch schon so ein Ärgernis für den Kunden...

Ja, klar. Jede Form von Kopierschutz ist ein Ärgernis für den Kunden. Ich hab' z.B. lieber nen Dongle als eine auf Hardware-ID gebundene Lizenz.

ps: Einige Dongle-Hersteller bieten auch selbst schon Lösungen für das "VM Problem" an. z.B. in Form von "Dongle-Servern". Man muss dann natürlich immer noch sicherstellen dass der Dongle am selben Host angesteckt ist wo auch die Dongle-Server VM läuft. Man dann aber wenigstens beliebig viele VMs haben die auf diese Dongles zugreifen, die dann auf beliebigen Hosts laufen können.

µCDongle

DingDongle schrieb:

Wodurch unterscheiden sich "professionelle Dongles" von normalen USB-Sticks?

Die professionelen Dongles enthalten einen µC der dafür sorgt, das wichtige Programmkomponenten außerhalb des Rechners berechnet werden, dies sorgt für maximalen Schutz, weil das Programm ohne dise Komponenten nicht funktioniert.

Natürlich kann dies alles in Form eines USB-Sticks ausgeführt werden, nur ist dass dann kein gewöhnlicher USB Speiherstick mehr, sondern eben ein USB-Stick mit µC.

decimad

hustbaer schrieb:

decimad schrieb:

Auch wenn die Virtualisation aufgrund aktueller Ereignisse vielleicht etwas gebremst wurde...

Auf was beziehst du dich da? Ich hab' kein Ereignis mitbekommen auf das diese Aussage passen würde. Das Thema interessiert mich aber, wäre nett wenn du ein paar Stichworte/Links dazu schreiben könntest

Ich wollte nur auf die NSA-Affäre hinaus, die vielleicht einige Unternehmen zögern lässt, im Moment Server in die Cloud zu verlagern eben weil Industriespionage eine echtes Problem ist, das oft und gerne vergessen wird bzw. jetzt wurde.

hustbaer schrieb:

Und dass Dongles dort so problematisch sind, liegt auch nur daran, dass der Support für USB Geräte bei einigen VM Lösungen nicht gut genug ist.

Entweder man benötigt physikalischen Zugang zu den Rechnern, was oftmals schwer ist, weil der Zugang entsprechend der Sicherheitsrichtlinien beschränkt ist, oder man nimmt die USB-Over-Ethernet-Problematiken in Kauf und hat für fortgeschrittenere Dongles einen zusätzlichen Roundtrip in Kauf zu nehmen (bei Dongles, die bloß irgendwie ab und zu mal die Integrität überprüfen ist das Problem nicht so ausgeprägt, allerdings sind diese natürlich auch umso schneller ausgehebelt). Auf etwaige VM <> USB Probleme wollte ich gar nicht so sehr anspielen, die beheben sich ja von selbst über die Zeit. Zumindest gehe ich davon aus.

Ich kenne Fälle aus erster Hand und aus genau diesem Umfeld, bei denen der Kunde explizit gewünscht hat, keine Dongles zu verwenden. Die Alternative war aber mindestens genauso grässlich, von daher stehe ich im Moment all diesen Ansätzen ablehnend gegenüber.

Im geschäftlichen Umfeld übernimmt der Administrator zudem die Verantwortung dafür, dass alles richtig lizensiert ist. Ich glaube kaum, dass da allzu viele einen Prozess und ihre Anstellung riskieren werden, nur um ein "paar" Euro für eine Software zu sparen, für die man am Ende noch nichtmal Support hat.

hustbaer

Ähm.
Virtualisierung muss nicht heissen in die Cloud verlagern.
Wir haben nix in der Wolke, aber alles virtualisiert. ESXi halt.

decimad

Ja natürlich ist es nicht dasselbe, aber das eine schließt das andere ja sozusagen mit ein, also wenn es abnimmt, dann nimmt auch das andere wahrscheinlich ab. Ich hätte mir den gesamten Nebensatz auch sparen können... Wollte jetzt nicht sagen, dass man nicht auch im Haus irgendwo oder gar überall eine VM platzieren kann oder ähnliches. Und ich habe jetzt auch vorausgesetzt, dass es sich bei der betreffenden Software um eine mit Client/Server-Architektur handelt, mit Volumenlizenzen und dem ganzen Pipapo, wobei der Server dann eben virtualisiert irgendwo in dunklen Rechenzentren steht, die von mehreren Unternehmensparten geteilt werden.

hustbaer

decimad schrieb:

Ja natürlich ist es nicht dasselbe, aber das eine schließt das andere ja sozusagen mit ein, also wenn es abnimmt, dann nimmt auch das andere wahrscheinlich ab.

Öff....
Ja, OK.
Ein Teilbereich von "Virtualisierung" ist natürlich die wolkige Virtualisierung, und die mag von der aktuellen Panikmache ein klein wenig betroffen sein.

Haswell

decimad schrieb:

Im geschäftlichen Umfeld übernimmt der Administrator zudem die Verantwortung dafür, dass alles richtig lizensiert ist. Ich glaube kaum, dass da allzu viele einen Prozess und ihre Anstellung riskieren werden, nur um ein "paar" Euro für eine Software zu sparen, für die man am Ende noch nichtmal Support hat.

Über Firmen in Deutschland oder vergleichbaren Ländern würde ich mir da auch keine Sorgen machen, denn wie du richtig erkannt hast, können die rechtlichen Konsequenzen so hoch sein, dass es sich für diese Firmen nicht rechnet.

Ganz anderes sieht es aber in Ländern aus, in denen Urheberrechtsverstöße eher lasch oder gar nicht gehandhabt werden und da kann, sofern man in diesen Ländern überhaupt einen Markt sieht, so ein HW Dongle schon ein wesentlich besserer Schutz sein als alles andere.

Anderseits wird man in solchen Ländern auch wie blöde Cracken, weswegen die Schutzwirkung dann doch wieder fraglich ist.

Es kommt also ganz darauf an, für wen und für welchen Markt man entwickelt und ob man sich auch trotz Raubkopien über Wasser halten kann.