Hallo zusammen,

um es vorweg zu sagen: Ich habe SG-Lock entwickelt.

Es gäbe da noch eine Schwachstelle: Und zwar könnte jemand versuche den Dongle zu emulieren. D.h. er klinkt sich an einer Stelle der Kommunikation zwischen deiner Software und dem Dongle ein und hängt der wirklichen Dongle ab. Das geht dann, wenn der Dongle "statisch" ist. D.h. er hat ein paar Speicherinhalte und ein paar andere Antworten auf die Anfragen parat. Wenn der Hacker alle Antworten kennt (protkolliert hat) setzt er einfach eine Software an die Stelle des Dongles, die die richtigen Antworten liefert.

Lösung: der Dongle sollte extrem viele verschiedene Antworten parat haben. Dazu muss man allerdings auch alle richtigen Antworten wissen, denn sonst kann man nicht entscheiden, ob die gegebene Antwort richtig ist. ... Einige werden es geahnt haben: Das macht eine Challenge-Response-Authentifizierung mithilfe eines Verschlüsselungsverfahrens. Auch hier sind alle Frage-Antwort Paare eindeutig bzw. statisch. Nur mit dem Problem, dass es extrem viele Möglichkeiten gibt, die unmöglich alle zu protokollieren sind. Bei einer Verschlüssellung mit einer Schlüssellänge von 128 bit eben 2^128 Stück - viel Spass dabei.


Gruß
Sven


PS Wenn hier jemand ein SG-Lock testen will: meine Firma gibt ein paar voll funktionsfähige Mini-Demo-Kits (ohne gedrucktes Handbuch) für dieses Forum gratis ab. Nur Discountcode XSD345 im Feld "Region" auf der Bestellseite www.sg-lock.de eingeben und durchklicken bis zum Ende (die angezeigten Kosten fallen nicht an).