web-dev-qa-db-ja.com

ソフトウェアの「CDキー」スキームはバックドアされたのか、それとも単に誤って設計されたのか?

当時、小売ソフトウェアは物理的なCDで出荷され、印刷された「CDキー」ラベルが貼付されていることがよくありました。ラベルの(通常は英数字の)キーは、製品のその特定のコピーに固有であり、ソフトウェアを機能させるためにセットアップ中に入力する必要がありました。キーには、インストーラーがキーが有効であるかどうかを判断できる特別なプロパティがありました任意の種類の中央サーバーに接続せずに、それでも一般にキーボードでランダムな文字をマッシュして有効なキーを生成することは不可能です。

特に特定できる例を挙げずに、最近の数か月にインストールについて話し合っている多くのレガシーソフトウェア製品やゲームがあり、多くの場合、キーが欠落/紛失しているため、AAAA-AAAA-AAAA-AAAAのようなキーを使用するのが一般的なアドバイスです。またはbuttheadbuttheadは、元の初期状態のインストーラーのキー入力ダイアログ中に表示されます-そして、これらのキーは一般的に機能します。実際のキー(BWHP-PWJU-VTV1-94M5のようにランダムに見えます)と比較すると、これらのキーは明らかに弱く、おそらく最も重要なこととして、非常に覚えやすくなっています。

whyこのようなキーは、これらの変更されていない製品版で受け入れられるのではないかと思いました。これらのパターンは、開発/ QA /サポートプロセスを簡略化するために、開発者によって「バックドア」として意図的にインストールされたのですか?または、キーの検証で、エンドユーザーが後で見つけて悪用した露骨ではあるが検出されない弱点があった、独自のハッシュ/チェックサム手順を使用した可能性が高いですか?

2
smitelli

CDキーは根本的に欠陥のあるデザインです。 CDキーの有効性をチェックするソフトウェアはユーザーのマシンで実行されるため、ユーザーの制御下で実行されます。ソフトウェアがチェックをバイパスするために何をしているかを知っているユーザーからソフトウェアを保護するためにできることはほとんどありません。ソフトウェアベンダーが高度なセキュリティ技術を導入してユーザーが海賊版CDキーを使用するのを防ぐには、ほとんどメリットがありません。それは単に、正直なユーザーを正直に保つだけの十分な水準を引き上げるためであり、海賊を排除するためではありません。

実際、非常に基本的なキーチェック以外のことを行おうとするほとんどの企業は、悪意のある担当者を必然的に獲得しました。彼らが採用しなければならない手法は、マルウェアがそれ自体を隠すために使用する手法と非常によく似ているためです。マルウェアソフトウェアのヒューリスティックスキャナーとそのような高度な技術により、正当なユーザーが正当なキーを使用できない割合が増えることがよくあります。一部の高度なDRMスキームは、システムに深く侵入するための悪意のある技術を使用することに対して非常に悪い担当者がいるため、システムに正当なセキュリティ問題を引き起こし、一部のマルウェア対策ベンダーがそのような高度なDRMを合法的に望ましくないソフトウェアとしてフラグ付けすることを検討する場合があります。それらを削除することを申し出ます。

多くの企業は、正当なユーザーが正当に購入したキーを使用できないようにするのではなく、海賊行為者がDRMスキームを破ることができるようにしたいと考えています。したがって、DRMは設計上、シンプルで許容範囲を維持しています。

3
Lie Ryan