Hallo,

Ich habe für eine Anwendung ein Protokoll um WM_COPYDATA herum gebaut, so dass zukünftige Anwendungen Daten auslesen und übertragen können. Nun soll dieser Zugriff auf die Anwendung aber durch ein Zertifikat oder ähnliches geschützt werden. Habt ihr Vorschläge wie man sowas vernünftig realisieren kann?

viele grüße

sebastian

Du willst also, dass Anwendung A nur mit bestimmten Anwendungen (B, C, D...) kommunizieren darf & vice versa.

Mir fällt spontan digitales Signieren ein. Du verwendet ein asymmetrisches Verschlüsselungsverfahren (2 Schlüssel - Anwendung A Schlüssel #1, alle anderen Anwendungen Schlüssel #2 [den du privat augeteilt hast]).

(Vorsicht, wird kompliziert)
Die Daten, die übertragen werden, werden mit einem symmetrischen Verschlüsselungsverfahren mit einem Zufallsschlüssel verschlüsselt; der Zufallsschlüssel wiederum mit einem der 2 Schlüssel asymmetrisch verschlüsselt mitverschickt. Der Empfänger entschlüsselt den Zufallsschlüssel mit dem anderen Schlüssel (2 gibts) und entschlüsselt letzendlich den Datenstrom mit dem entschlüsselten Zufallsschlüssel. Dadurch können nur beide Anwendungen - denen Schlüssel #1 & #2 bekannt sind, kommunizieren.

Problem an dem Ganzen: Sobald einer der beiden Schlüssel bekannt ist (Anwendung debuggen/disassemblieren -> Schlüssel extrahieren), ist das alles fürn Hugo!

Im Grunde kann man das (damit) gar nicht absichern. Jeder geübter Reverse Engineer wird imstande sein, diesen zu extrahieren. Vlt gibts ja nen besseren Vorschlag ^_^ Bin zu müde um klar denken zu können

Gute Nacht

Alles was auf deinem Rechner läuft, auf den du vollen Zugriff hast, ist prinzipiell irgendwie zu knacken. Jeder Versuch dort eine Sicherung einzubauen ist lediglich Zeitschindung. Derartige Verschlüsselungen machen nur Sinn, wenn die Serverkomponente vom Benutzer getrennt läuft. (externer Server, kein Hardwarezugriff, kein Administratorzugang) Aber selbst dann ist das Clientprogramm auf dem Anwederrechner manipulierbar.

Möglicherweise können wir dir besser helfen, wenn du konkreter sagst um was es geht.

Liebe Grüße,
Valentin

danke erstmal für die antworten zu später stunde. anwendung A, die ich gerade programmiere, fungiert als plattform, die verschiedene messungen beherbergt. generell dient sie also als eine art datenproduzent. diese sollen natürlich auch später ausgelesen werden können, und dabei ist unter anderem auch die funktionalität gewünscht, dass externe programme (B,C,..) darauf zugreifen können. auf der anderen seite sollen bestimmte parameter auch von (B,C,...) gesetzt werden können. unsere dv-abteilung hat für jeden mitarbeiter nun einen eigenen account angelegt, und was ich mir wünschen würde, wäre eine verteilung der zugriffsrechte, um bestimmten user lese/schreib-rechte , anderen wiederum nur lese-rechte und gästekonten gar keine rechte zuzuteilen.
damit soll vor allem verhindert werden, dass nicht eingearbeitete nutzer zugriff auf parameter haben, welche den messablauf evtl stören können. diese haben im allgemeinen kein interesse daran schaden zu verursachen, meistens sind es einfach nur übereifrige nutzer, die gerne auch mal selber ihre messparameter anpassen wollen. schlußendlich dürfen gästekonten, die zumeist von studenten benutzt werden, natürlich keinen ungesicherten zugriff auf messergebnisse bekommen, daher gelegentlich auch die lese-blockade.

wenn ich aphton richtig verstanden habe, könnte ich jetzt zum beispiel die nutzerkennungen+nutzerpasswort als schlüssel #2 verwenden? dann bräuchte ich nur noch eine anfrage an die user-datenbank schicken, um die rechte zu ermitteln.

Edit:
hab es mir gerade noch mal auf der zunge zergehen lassen, ein beispiel ist vielleicht gar nciht so verkehrt:
physiker sind meistens keine peniblen programmierer, die wollen einfach nur flott ihre messungen starten und fertig ist. wenn nun etwas nicht nach ihren wünschen ist, gehen sie mal eben in den quelltext und probieren einfach herum. der quelltext von A steht ihnen nun zwar nciht zur verfügung, aber der von (B,C,..). deswegen dachte ich mir, auf seite von A erstmal noch checken, wer da gerade etwas von A will

viele grüße

sebastian

Ich könnte ja mal wieder mORMot ins Rennen werfen. Da ist das Protokoll, die Verschlüsselung, der Datentopf und die Berechtigungen alles schon dabei

uiuiui danke dir, das ist wohl erstmal ein knochen zum durcharbeiten. leider hab ich mich noch nicht intensiv mit den großen datenbank-systemen beschäftigt. inwiefern wäre es denn möglich eine reine server-client struktur aus diesem framework zu verwenden, ohne jetzt mein Hauptprogramm zu einer Datenbank erweitern zu müssen

Such mal hier im Forum, da habe ich eine kleine Demo hinterlegt.

Und das mit der DB ist eigentlich weit weg bei dem Framework ... denn die wird automatisch angelegt und entsprechend angepasst. Du baust einfach Delphi-Klassen und dann wird zu diesen die DB angelegt, geändert.

Ansosnten kannst du dir mal http://blog.synopse.info anschauen, bzgl. der Interface Based Services. Vermutlich meinst du sowas

wow danke für das tutorial, das versteh ich schon eher und ist wohl erstmal ein guter einstieg.
das sieht wirklich ganz vielversprechend aus.