Java Programme nichtmehr-decompilierbar machen

[Guest]

Kann man ein Java Programm, das wegen des Bytecodes ja immer decompilierbar ist, irgendwie nicht mehr decompilierbar machen?

Wenn ja, wie?

 

[The_S]

nein, man kann es nur erschweren. Wenn du es undecompilierbar machen würdest, könnte auch die JVM nichts mehr damit anfangen

 

[@x.l]

Komplett geht es nicht... du kannst aber die Lesbarkeit eines decompilierten Files verschlechtern.

Stichwort: Obfuscator

 

[Guest]

Das is schonmal ein super Hinweis

Danke!

 

[Guest]

Gäb es eine Möglichkeit auf andere Programmiersprachen auszuweichen?
Also ein fertiges Programm übersetzen zu lassen, um es so unlesbar zu machen?

 

[The_S]

Was hast du denn für super tollen Quellcode, der mehrere Millionen Euro Wert ist!?

 

[@x.l]

Naja, es gibt Konverter die Java-Code bspw. in C/C++/C# übersetzen. Kann dir aber nicht sagen wie die Qualität der Ergebnisse ist bzw. ob es sich überhaupt problemlos konvertieren lässt und läuffähig ist.

 

[Guest]

keinen der Millionen Euro wert ist
Aber einen der nicht-manipulierbar sein muss. Die Funktionsweise darf in keinem Fall nachvollziehbar sein. Was ja bei Decompilierung sehr sehr einfach ist.

@x.l: also kommts auf einen Versuch an?
Werd mich mal umschauen

Hat vielleicht schon jemand Erfahrung mit solchen Programmen?

 

[Guest]

keinen der Millionen Euro wert ist
Aber einen der nicht-manipulierbar sein muss.

Um was für eine Art von Anwendung handelt es sich denn? Desktopanwendung oder Webanwendung (Applet) ?

 

[tfa]

keinen der Millionen Euro wert ist
Aber einen der nicht-manipulierbar sein muss.

Um was für eine Art von Anwendung handelt es sich denn? Desktopanwendung oder Webanwendung (Applet) ?

Völlig egal. Was auf dem eigenen Rechner läuft kann grundsätzlich immer zurück entwickelt/geknackt/manipuliert werden.
Die Lösung wäre eine Client-Server-Anwendung.

 

[Gast]

Ich weiss, es würde mich trotzdem mal interessieren ob es sich um eine Desktop oder eine Webanwendung handelt.

 

[Guest]

Eine Desktopanwendung.

Also müsst ich den Code der nicht geknackt werden dürfte um wirkich sicher zu gehen immer auf einen eigenen Server auslagern?

hmm... bei Teilen ginge das vielleicht, aber bei anderen muss das aufm jeweiligen Client ablaufen. Das Prog muss auch auf Rechnern laufen, die nicht am Internet hängen.

Kann man Code eigentlich verschlüsseln und erst zur Laufzeit wieder entschlüsseln sobald er gebraucht wird?
Dann könnte man den Schlüssel ganz tief im Code vergraben und verwirren.

 

[SlaterB]

> und erst zur Laufzeit wieder entschlüsseln

was spricht dagegen, sich nur diesen Code 'zur Laufzeit' anzuschauen?

 

[Guest]

Könnt ich nicht theoretisch den entsprechenden Code zur Laufzeit immer wieder morphen um das Ausfindigmachen der Stellen die den Code knacken würden zu erschweren?

 

[Guest]

> und erst zur Laufzeit wieder entschlüsseln

was spricht dagegen, sich nur diesen Code 'zur Laufzeit' anzuschauen?

Wie meinst du?

 

[The_S]

Kann man Code eigentlich verschlüsseln und erst zur Laufzeit wieder entschlüsseln sobald er gebraucht wird?
Dann könnte man den Schlüssel ganz tief im Code vergraben und verwirren.

Kommt drauf an, was du mit verschlüsseln meinst, aber mit unnötigen Aufrufen, aufgeblähten algorithmen, codierten Variablen und obsfucatoren lässt sich schon einiges machen .

Aber auch hier gilt: Wenn jemand deinen Code UNBEDINGT sehen möchte und das nötige Know-How/die nötigen Mittel dazu hat, dann schafft er das auch.

 

[SlaterB]

du willst du Code irgendwie verschlüsseln (wahrscheinlich zum Schutz) und zur Laufzeit entschüsselt an die JVM geben (Zeitpunkt x),
aber dann reicht es doch für den Angreifer, einfach zum Zeitpunkt x den bereits entschlüsselten Code anzuschauen

unter der Voraussetzung, dass das alles möglich ist, keine Ahnung

 

[Gast]

Um auch eine Hilfestellung zu geben:

Wie bereits erwähnt, ist der einzige Weg, den Code zu schützen der, es auf einem eigenen Server laufen zu lassen.
Falls das nicht funktioniert, dass muss zumindest der schützenswerte Teil des Programms auf dem Server laufen und der andere Teil als Clientanwendung. Also eine Client-Server Anwendung.

Wenn du uns noch sagst, warum ein Teil auf dem Client laufen muss, dann können wir dir vielleicht weiterhelfen. Also was wird vom Client benötigt? Irgendwelche Hardwareressourcen?

 

[Guest]

hmm... mist.
Dann sollte ich vielleicht doch über eine Client-Server Lösung nachdenken.

Wenn jemand dieses Know-How hat, könnte er damit sehr viel Schaden anrichten.

 

[Guest]

Nein, der Hauptgrund dafür, dass es aufm Client laufen muss ist der, dass das Programm auch auf Rechnern laufen sollte die über keine Internetverbindung verfügen.

Aber wenn die einzig sichere Möglichkeit eine Client-Server Applikation ist, muss ich hier wohl doch Abstriche machen.
Sicherheit geht in jedem Fall vor.

 

[The_S]

Was sind denn für wichtige Daten in deinem Code, die keiner sehen darf (mal konkret gefragt )?

 

[SlaterB]

es gibt noch eine andere Möglichkeit: eine verschlossene Hardware-Box (ganz klein: Chipkarte),
alle Öffnungsmöglichkeiten sind per Draht mit einer Handgranate verbunden (Achtung: geht nicht in Chipkarte)

 

[Guest]

Allzu konkret kann ich nich Antworten, aber welche die das ganze System aushebeln und obsolet machen könnten.

 

[Guest]

es gibt noch eine andere Möglichkeit: eine verschlossene Hardware-Box (ganz klein: Chipkarte),
alle Öffnungsmöglichkeiten sind per Draht mit einer Handgranate verbunden (Achtung: geht nicht in Chipkarte)

das wär mal was, dann hätt Premiere keine Probleme mehr

 

[Guest]

Wär es denkbar, eine eigene kleine Virtuelle Maschine zu implementieren, ähnlich VMware aber viel kleiner, diese dann mittels AES zu verschlüsseln und meinen Code ausschließlich in dieser VM ausführen zu lassen?

Dann hätt ich meinen kleinen Server im jeweiligen Rechner platziert und um dort noch an den Code ranzukommen, müsste man erstmal 256 bit AES Schlüssel knacken.

 

[tfa]

Und wo kommt der Schlüssel her? Der muss ja wohl im Programm gespeichert sein, und zwar unverschlüsselt.

 

[Guest]

Hab ich erst auch gedacht, und den Gedanken wieder verworfen.
Aber ich denke an eine autonome VM, die man nicht entschlüsseln muss oder bei der man keinen Schlüssel braucht um reinzukommen oder sowas. Denn reinkommen braucht man nicht, sondern ihr nur Daten übergeben und welche annehmen. Eine die man nur startet, die dann bootet (in der verschlüsselten VM) und die nur 2 Schnittstellen (Ein und Ausgabe) zum Wirtsystem hat.

Vergleichsweise wie ein Rechner oder eine VMware - VM, die mit zB. Truecrypt komplett verschlüsselt ist, die man nur startet.

ist sowas denkbar?

 

[Guest]

Würde sagen man kann das ganz kurz und knapp machen:
So lange du ein Programm lokal ausführst kann und wird es immer geknackt werden, sofern jemand genug Interesse und finanzielle Mittel hat, dies zu tun.

Grund: Dein Programm läuft auf einer unsicheren Plattform, nämlich einem Betriebssystem, und das ist nunmal Software. Du müsstest dein Programm in Hardware gießen um einen höheren Schutz zu haben.

 

[ms]

Wie lange programmierst du schon mit Java bzw. objektorientiert?
Wenn noch nicht so lange, dann ist die Chance groß dass man deinen Code sowieso nicht nachvollziehen kann. :lol:

ms

 

[tfa]

Wenn Client-Server nicht geht, ist die Hardwarelösung am sichersten. Am besten das Programm als ASIC realisieren und das Gehäuse mit Epoxyd-Harz ausgießen. )

 

[Guest]

Gesamt etwa 4 Jahre, intensiv erst seit nem halben.

Wobei das Programm nicht in bälde fertig sein wird. Ist eher ein Langzeitprojekt, das frühestens Mitte nächsten Jahres fertig sein wird.

 

[Guest]

Wenn Client-Server nicht geht, ist die Hardwarelösung am sichersten. Am besten das Programm als ASIC realisieren und das Gehäuse mit Epoxyd-Harz ausgießen. )

Das Problem an dieser Sache ist die Finanzierung. Ohne Investoren wird das wohl nicht so einfach zu realisieren sein. Mal abgesehen von den Kosten für den Endnutzer.

 

[Gast]

Das scheint ja dennoch was ganz tolles zu sein. Denn selbst Hersteller richtig teurer Programme (CAD Software,...) betreiben keinen solchen Aufwand.

 

[Der Müde Joe]

Das scheint ja dennoch was ganz tolles zu sein. Denn selbst Hersteller richtig teurer Programme (CAD Software,...) betreiben keinen solchen Aufwand.

Da hatten wir doch mal so ein Programm, wo man immer ein Hardware Teil an den ComPort anschliessen musste, dass das Programm startet. Naja..hat die Umstellung auf die neuen Laptops nicht überlebt.
*SPAM*

 

[Saxony]

Jaja der gute alte Com-Port Dongle, welchen es aber mittlerweile auch in USB Ausführungen gibt und somit wieder mit neuen Laptops funktionieren dürfte!

bye Saxony