Kategorien: Software-Schutz

Cloud-FSB

Automatische Build-Systeme und Continuous Integration sind keine Trends mehr, sondern der Standard beim Softwareentwicklungsprozess. Üblicherweise werden die Umgebungen dabei virtualisiert, um die Ressourcen bei Bedarf skalieren zu können. Das Auslagern der ganzen Build-Umgebung in die Cloud, zum Beispiel in Azure DevOps, ist nur der nächste folgerichtige Schritt.

Softwareschutz durch Verschlüsslung der ausführbaren Anwendung ist ein weiterer Schritt in diesem Software-Erzeugungsprozess. Die Verschlüsselung wird auf die ausführbaren Dateien der Software angewandt. Dieser Schritt muss daher nach dem Kompilieren der Software, aber vor dem Erzeugen des Installationspakets erfolgen.

Ein Alleinstellungsmerkmal von CodeMeter ist die starke Bindung der Verschlüsselung an die Lizenz. Dazu wird in der Lizenz ein geheimer Schlüssel, der Product Item Secret Key (PISK), gespeichert, der zum Entschlüsseln der Software genutzt wird. Dies bedeutet, dass dieser Schlüssel ebenfalls zum Verschlüsseln benötigt wird. Der PISK selbst wird dabei aus Ihrem Firm Code, dem gewählten Product Code und geheimen Master-Schlüsseln abgeleitet. Diese geheimen Schlüssel werden in der Firm Security Box (FSB) gespeichert. Die FSB ist ein CmDongle, den Wibu-Systems für Sie entsprechend mit Ihrem Firm Code vorbereitet.

Wenn Sie beim Verschlüsseln einen Product Code, z.B. 201000, eingeben, dann wird der zu Ihrem Firm Code und diesem Product Code gehörende PISK berechnet und die Software damit verschlüsselt. Geben Sie den gleichen Product Code beim Erzeugen der Lizenz ein, dann wird der gleiche PISK berechnet und sicher in der Lizenz hinterlegt.

Das bedeutet, dass die FSB zwingend zum Verschlüsseln benötigt wird. Doch wie verbindet man einen CmDongle mit einer virtuellen Maschine oder einem Docker-Container in der Cloud? Um diese Herausforderung zu lösen, bietet Wibu-Systems seit Mitte 2022 die Cloud-FSB an. Die Cloud-FSB wird bei Wibu-Systems gehostet. Sie stellt einen virtuellen CmDongle dar, zu dem sich das Build-System über Port 80 bzw. 443 verbindet.

Wie bei einem CmDongle können die Master-Schlüssel auch bei einem CmCloudContainer nicht ausgelesen werden. Ein System mit Zugriff auf die FSB kann diese Schlüssel zwar benutzen, aber kennt sie nicht. Daher ist eine unautorisierte Weitergabe ausgeschlossen.

Damit sich Ihr Build-System mit der Cloud-FSB verbindet, benötigen Sie eine Credential-Datei. Diese beinhaltet ein starkes Passwort und wird für den Aufbau einer sicheren und verschlüsselten Verbindung benötigt. Für die CodeMeter Runtime stellt sich eine Cloud-FSB wie ein lokal angesteckter CmDongle dar. Über das CodeMeter Developer Portal haben Sie Zugriff auf Ihre Cloud-FSB. Sie können die Cloud-FSB direkt mit Ihrem lokalen Rechner verbinden oder Sie können die Credential-Datei herunterladen. Für Ihr Build-System bietet sich der Download an. Bitte beachten Sie, dass Sie diese Datei unbedingt geschützt speichern sollten. Bei Azure DevOps finden Sie zu diesem Thema mehr unter dem Stichwort „Use secure files“.

Die FSBs gibt es in zwei Ausführungen: zum einen als Standard-FSB. Diese kann Lizenzen erstellen und Software verschlüsseln, vorausgesetzt die passenden AxProtector-Lizenzen sind vorhanden. Zum anderen ist die FSB als Encryption-Only-FSB verfügbar. Diese kann nur verschlüsseln, aber keine Lizenzen erstellen. Wir empfehlen für die Verwendung in einem Automatischen Build-System eine Encryption-Only-FSB. Im Falle des Verlusts ist der Schaden geringer als bei einer Standard-FSB. Sollten Sie den Verlust bemerkten und jemand anders verwendet Ihre Credential-Datei, können Sie diese im CodeMeter Developer Portal ungültig machen und eine neue erzeugen.

 

KEYnote 44 – Ausgabe Herbst/Winter 2022

Nach oben