Encryption 硬件级反盗版保护

我朋友有一家公司，向客户销售硬件产品（如指纹阅读器）。在他们的每台机器中，他们都嵌入了一个“加密芯片”，类似于加密狗（但嵌入到他们的产品中，而不是U盘）：机器上的软件通过加密（软件和加密狗共享加密密钥）从芯片中查询某些信息，以继续执行。这主要是为了防止盗版（复制机器和软件）

问题是，这些嵌入式加密狗是从第三方安全公司购买的。因此，有一些盗版者从同一家安全公司购买了一个嵌入式加密狗，然后用显微镜读取芯片的实际内容，这样他们就可以相当容易地获得加密密钥，从而使嵌入客户产品中的加密狗变得无用

要解决此问题，似乎有两种方法：

1） 找一家声誉很好的专业安全公司，专门生产嵌入式加密狗，可以防止这种非常复杂的“物理黑客攻击”

2） 使用一种CPU（或任何其他硬件组件），该CPU具有可由软件读取的唯一串行id，这样它将每个软件绑定到一台唯一的机器上。类似于ISP如何将NIC的MAC地址绑定到其服务器，以防止多台PC使用Interent（但这些很容易被可以更改NIC MAC的MAC欺骗破解）

---

还有其他建议/指导吗？谢谢

规则1：盗版是无法阻止的。没有任何技术手段可以神奇地允许某些人使用该产品，而某些人不使用该产品

不可能区分正常人和无效人。他们都是人。他们似乎总是知道密码，有加密狗，在认可的CPU上运行，有正确的IP地址，有正确的鞋码

甚至指纹也可能被伪造（请观看Mythbusters以获取证据）

这是一个信任问题，而不是技术问题。机器如何知道信任谁

事实上，它不知道该信任谁。只有一个人与另一个人建立信任关系

---

机器就是机器。任何时候你允许一个人使用这台机器，另一个人都可以（并且最终会）获得访问权。

这是一篇非常好的DRM文章：

在DRM中，攻击者也是 收件人不是爱丽丝和鲍勃，而是 卡罗尔，只有爱丽丝和鲍勃。爱丽丝 卖给鲍勃一张DVD。她卖给鲍勃一张DVD 玩家。DVD上有一部电影—— 比如说，加勒比海盗——以及 它是用算法加密的 称为CSS–内容置乱 系统。DVD播放机有一个CSS 联合国扰频器

现在，让我们来评估一下 这里的秘密：密码是众所周知的。 密文是最可靠的 敌人的手，啊。那又怎么样？只要 钥匙是攻击者的秘密， 我们是金色的

但问题是。爱丽丝想要鲍勃 购买加勒比海盗 她鲍勃只会买盗版的 加勒比海，如果他能解释 CSS加密VOB–视频对象–打开 他的DVD播放机。否则，光盘将被删除 只对Bob有用，因为 饮料杯垫。所以爱丽丝不得不这么做 向攻击者Bob提供 密钥、密码和密文

欢闹随之而来

限制软件pircay的唯一方法就是尽可能地混淆激活/重定位算法。以下是大男孩们是如何做到这一点的：

---

我已经开发了许多软件和硬件措施的产品，试图阻止盗版。最终，你无法阻止盗版，因为如果他们不能伪造“密钥”，他们就可以破解你的代码，跳过对密钥的检查——即使你的代码已编译

通过使用更强有力的反盗版措施，您所做的是给所有守法的客户带来不便，并使其难以使用您的产品

---

据我所知，最好的反盗版解决方案是制造一种产品，其价值在于软件能够访问未安装在客户机器上的数据或服务。例如，您控制的internet站点上的许可证，因此您可以监视客户对其许可证的使用情况，如果您检测到他们试图非法使用其许可证，则可以禁用该许可证。

DRM对您的客户和您都不好，最后，如果您的产品足够好，盗版者会得到它

所以，如果你赢不了，为什么不加入他们呢

停止DRM。为所有副本单独添加水印，并记录您的销售对象。别告诉他们是你干的。给他们一个许可证密钥

等到海盗开始行动

---

检查盗版副本，起诉向盗版者出售或泄露密码的公司以获取巨额现金。与个人不同，如果他们出售了它，他们必须保持记录。

又是一个典型的“军备竞赛”问题。你的产品是否有足够大的市场，值得盗版者盗取钥匙并分发仿冒指纹阅读器？他们是否有一个你无法打击的分销渠道（用于物理设备）？是的，假设这是一个紧迫的问题，黑客基本上可以轻易地盗版我们的每一款产品，尽管有这些加密芯片。你推荐一家生产高质量加密芯片的好公司吗？与其说是加密狗和芯片，不如说是SLA（服务级别协议），这就是为什么DB2不需要加密狗的原因。放弃销售比特和字节，不如说是销售服务。+1：多年来我一直在做逆向工程（前一段时间，但现在仍然如此），我可以证实这些事实。这是一场“军备竞赛”，竞赛的节奏取决于所涉及的金额$$$。SAAS软件本质上是不可盗版的，不是因为它实现了良好的拷贝保护，而是因为实际的软件不在主机中。战争世界