Программно-аппаратные средства защиты ПО с электронными ключами

Этот класс СЗПО в последнее время приобретает все большую популярность среди производителей программного обеспечения (ПО). Под программно-аппаратными средствами защиты, в данном случае, понимаются средства, основанные на использовании так называемых "аппаратных (электронных) ключей". Электронный ключ - это аппаратная часть системы защиты, представляющая собой плату с микросхемами памяти и, в некоторых случаях, микропроцессором, помещенную в корпус и предназначенную для установки в один из стандартных портов ПК (COMM, LPT, PCMCIA, USB...) или слот расширения материнской платы. Так же в качестве такого устройства могут использоваться СМАРТ-карты. По результатам проведенного анализа, программно-аппаратные средства защиты в настоящий момент являются одними из самых стойких систем защиты ПО от НСД.

Электронные ключи по архитектуре можно подразделить на ключи с памятью (без микропроцессора) и ключи с микропроцессором (и памятью).

Наименее стойкими (в зависимости от типа программной части) являются системы с аппаратной частью первого типа. В таких системах критическая информация (ключ дешифрации, таблица переходов) хранится в памяти электронного ключа. Для дезактивации таких защит в большинстве случаев необходимо наличие у злоумышленника аппаратной части системы защиты (основная методика: перехват диалога между программной и аппаратной частями для доступа к критической информации).

Самыми стойкими являются системы с аппаратной частью второго типа. Такие комплексы содержат в аппаратной части не только ключ дешифрации, но и блоки шифрации/дешифрации данных, таким образом при работе защиты в электронный ключ передаются блоки зашифрованной информации, а принимаются оттуда расшифрованные данные. В системах этого типа достаточно сложно перехватить ключ дешифрации так как все процедуры выполняются аппаратной частью, но остается возможность принудительного сохранения защищенной программы в открытом виде после отработки системы защиты. Кроме того, к ним применимы методы криптоанализа.

Положительные факторы:

1. Значительное затруднение нелегального распространения и использования ПО;
2. Избавление производителя ПО от разработки собственной системы защиты;
3. Высокая автоматизация процесса защиты ПО;
4. Наличие API системы для более глубокой защиты;
5. Возможность легкого создания демо-версий;
6. Достаточно большой выбор таких систем на рынке;

Отрицательные факторы:

1. Затруднение разработки и отладки ПО из-за ограничений со стороны СЗ;
2. Дополнительные затраты на приобретение системы защиты и обучение персонала;
3. Замедление продаж из-за необходимости физической передачи аппаратной части;
4. Повышение системных требований из-за защиты (совместимость, драйверы);
5. Снижение отказоустойчивости ПО;
6. Несовместимость систем защиты и системного или прикладного ПО пользователя;
7. Несовместимость защиты и аппаратуры пользователя;
8. Ограничения из-за несовместимости электронных ключей различных фирм;
9. Снижение расширяемости компьютерной системы;
10. Затруднения или невозможность использования защищенного ПО в переносных и блокнотных ПК;
11. Наличие у аппаратной части размеров и веса (для COMM/LPT = 5х3х2см ~ 50гр);
12. Угроза кражи аппаратного ключа

Средства защиты ПО с "ключевыми дисками"

В настоящий момент этот тип систем защиты мало распространён, ввиду его морального устаревания. СЗПО этого типа во многом аналогичны системам с электронными ключами, но здесь критическая информация хранится на специальном, ключевом, носителе. Так же много общего есть и с системами защиты от копирования, так как используются те же методы работы с ключевым носителем.

Основной угрозой для таких СЗПО является перехват считывания критической информации, а так же незаконное копирование ключевого носителя.

Положительные и отрицательные стороны данного типа СЗПО практически полностью совпадают с таковыми у систем с электронными ключами:

Положительные факторы:

1. Значительное затруднение нелегального распространения и использования ПО;
2. Избавление производителя ПО от разработки собственной системы защиты;
3. Высокая автоматизация процесса защиты ПО;
4. Возможность легкого создания демо-версий;

Отрицательные факторы:

1. Затруднение разработки и отладки ПО из-за ограничений со стороны СЗ;
2. Дополнительные затраты на приобретение системы защиты и обучение персонала;
3. Замедление продаж из-за необходимости физической передачи носителя;
4. Повышение системных требований из-за защиты;
5. Снижение отказоустойчивости ПО;
6. Несовместимость систем защиты и системного или прикладного ПО пользователя;
7. Несовместимость защиты и аппаратуры пользователя;
8. Снижение расширяемости компьютерной системы;
9. Затруднения или невозможность использования защищенного ПО в переносных и блокнотных ПК;
10. Угроза кражи ключевого носителя

Необходимо отметить, что пользователем явно ощущаются лишь отрицательные стороны систем защит. А производители ПО рассматривают только относящиеся к ним "плюсы" и "минусы" систем защиты и практически не рассматривают факторы, относящиеся к конечному потребителю.

По результатам исследования был разработан набор показателей применимости и критериев оценки СЗПО.

 

Показатели применимости:

Технические

Соответствие СЗПО функциональным требованиям производителя ПО и требованиям по стойкости, системные требования ПО и системные требования СЗПО, объём ПО и объём СЗПО, функциональная направленность ПО, наличие и тип СЗ у аналогов ПО - конкурентов.

Экономические

Соотношение потерь от пиратства и общего объёма прибыли, соотношение потерь от пиратства и стоимости СЗПО и её внедрения, соотношение стоимости ПО и стоимости СЗПО, соответствие стоимости СЗПО и её внедрения поставленным целям.

Организационные

Распространённость и популярность ПО, условия распространения и использования ПО, уникальность ПО, наличие угроз, вероятность превращения пользователя в злоумышленника, роль документации и поддержки при использовании ПО.

 

Критерии оценки:

Защита как таковая

Затруднение нелегального копирования, затруднение нелегального доступа, защита от мониторинга, отсутствие логических брешей и ошибок в реализации системы.