Discussion :

[BugFactory]

Bonjour,

Je cherche une solution efficace pour gérer des clés de licence.

Le problème est simple : pour que l'application (un client lourd) accepte de fonctionner, l'utilisateur doit entrer une clé de licence, qui peut lui être fournie par un site ou par téléphone. L'application vérifie ensuite si la clé est valide et si c'est le cas, se déverrouille. Là où ça se complique, c'est que la validation doit pouvoir fonctionner sans connexion internet. Impossible donc de générer des certificats et de les stocker sur un serveur web pouvant les authentifier.

J'ai pensé à créer un système qui générerait des clés en apparence aléatoire, mais qui pourraient être validées par une règle mathématique. Par exemple, la somme des chiffres doit être divisible par 5. Donc 1563 serait une clé valide mais pas 1212. Je sais qu'un tel système serait vulnérable, mais je n'ai pas de meilleure idée pour un système hors ligne. De plus, il faudrait que je trouve une règle mathématique moins visible.

Connaissez vous un meilleur système?
Connaissez vous une bonne règle de validation, peut-être basée sur la cryptologie?

Merci d'avance.

[Lekno]

Tu peux éventuellement essayer d'adapter la "technique du grain de sel". Elle est utilisé pour renforcer la sécurité d'une clef MD5 ou dans d'autres cas

Tu trouvera de nombreux liens sur google

[BugFactory]

La technique est intéressante, mais pas applicable à mon cas : elle sert à sécuriser des échanges client-serveur. Or tout mon problème vient du fait qu'il doit être possible de vérifier la validité de la clé sans connexion WEB. Merci quand même, je ne connaissais pas ce truc, ça pourra m'être utile sur d'autres projets.

Je cherche plutôt une protection du type de ce que l'on trouvait sur certains vieux jeux vidéos : à la fin de l'installation, on devait recopier une clé fournie sur la boite pour activer le jeu. La vérification fonctionnait même en offline.

[Graffito]

Voir cette discussion : http://www.developpez.net/forums/d12...s-d-programme/

[BugFactory]

Effectivement, récupérer un identifiant unique pour la machine peut m'aider à sécuriser mes clés, merci.

[BugFactory]

Je pense avoir trouver une méthode qui, à défaut d'être sûre, est suffisante. Elle est inspirée du lien donné par Graffito, à ceci près que je peux ne pas avoir de mails. L'activation sera faite par internet par défaut, sinon, par téléphone avec la hotline. Et on dirait que je vais utiliser le grain de sel finalement.

Etape 1 : lors du 1er démarrage, le client collecte des infos permettant d'identifier l'utilisateur. Probablement l'identifiant du processeur. On ajoute un grain de sel, utilise un hachage (SHA1?) puis on ne garde que les 8 premiers caractères. Ceci forme un code de demande d'enregistrement.

Etape 2 : on envoie le code au serveur, soit par le Net si c'est possible, soit par téléphone. A son tour, le serveur ajoute un autre grain de sel et hache le tout. Ceci forme le code d'enregistrement.

Etape 3 : on renvoie le code au client. Celui-ci peut vérifier le code, et se débloque.

Bien sûr, cette méthode est vulnérable car elle repose sur la sécurité par offuscation. En particulier, le client devra connaitre les deux grains de sel. Cependant, on ne cherche pas quelque chose capable de résister à la NSA.

Merci encore pour vos conseils.