우리는 흥미로운 기술적 도전을 가지고 있습니다. 라이센스 사용료가 사용량에 따라 달라질 수 있으므로 소프트웨어 사용을 추적하는 보안 감사 파일을 작성하여 사용량이 적은 사람들에게 더 저렴하게 만드는 방법.
특히 TickZoom은 헤지 펀드를위한 알파 생성 거래 플랫폼을 판매합니다.이 플랫폼은 현재 지원 비용을 포함하여 라이센스 비용으로 2,000 달러/월 (두 배 이상으로 곧 증가 할 것입니다)입니다. 그것은 기관에게는 좋지만 개인에게는 너무 비싸다. 개인은 종종 고정 요금을 지불 할 여유가있을 때까지 소프트웨어를 사용하여 만들어진 이익의 %와 교환하여 더 낮은 가격을 요구합니다.
우리는 그 제안을 좋아합니다. 그러나 실제로 플랫폼에서 생성 된 이익을 감사하기위한 신뢰할 수있는 방법과 감사 파일을 삭제하거나 겹쳐 써서 사용자가 "게임"하지 못하게함으로써 실제보다 낮은 수입을보고해야합니다.
이 응용 프로그램은 C#으로 작성되었으며 시스템의이 부분은 적어도 코드를 해독하기가 어렵게 만드는 것은 어렵습니다.
또 다른 요구 사항은 사용자가 총 요금에 약간의 불일치가 있다고 느끼는 경우 심층적 인 감사를 허용하기 위해 발생하는 모든 거래에 대해 파일에 기록하는 것입니다. 그렇게하면 개별 무역 이익을 브로커 명세서와 비교할 수 있습니다.
물론 파일이 암호화된다고 가정합니다.
그러나 "변조 방지"방법에 대한 아이디어가 있습니까? 특히 간단한 삭제 시도에 반대합니까?
내 첫 번째 추측은 소프트웨어에 항상 기존 감사 파일이 필요하거나 실행을 거부하는 것입니다.
그런 다음 소프트웨어를 제공하면 "비어있는"감사 파일로 패키징되지만 실제로는 변조 방지 인증이 있습니다.
사용자가 파일을 "변경"하려고 시도하는 것은 누군가가 원래의 "비어있는"파일을 단순히 백업 한 다음 나중에 나중에이 파일을 사용하여 나중에 시스템을 속일 수 있다고 생각하게 만듭니다. 새로운 시작.
아마 "마지막 업데이트 타임 스탬프"와 만료 시간이 포함되어 해결 될 수 있습니다.
또한 완전히 다른 해결책 아이디어를 환영합니다. 이 경우 우리는 거래가 중앙 서버에 기록되도록 "전화 집"기능을 추가해야 할 수도 있습니다. 그러나 이것은 불리한 것으로 보이며 잠재적으로 미션 크리티컬 한 애플리케이션에서 또 다른 실패 지점을 추가합니다. 일반적으로 그들은 명백한 좋은 이유와 함께 "전화 집"기능을 크게 싫어합니다. 감사합니다
, Waynek
이것은 상당히 유머러스 한 아이디어입니다. 몇 가지 우려 사항이 있지만 쉽게 해결할 수 있습니다. Q : 사용자가 감사를 위해 파일을 보낼 때 합법적인지 확인하는 방법은 무엇입니까? A : 감사 파일과 함께 해시 파일을 보내야합니다. Q : 프로그램을 닫을 때 파일이 해시 된 경우 사용자가 프로그램을 죽이면 어떻게됩니까? A : 즉, 해시 파일과 일치하지 않는 파일을 가지고 있음을 의미합니다. 다음 시작시에는 프로그램이 위조 파일을 거부합니다. 나는 다음 댓글에서 이것들을 풀기위한 아이디어에 대한 의견을 원합니다. – Wayne
해결 방법 1. 프로그램은 비밀 "소금"과 함께 파일을 해시 할 수 있으므로 해시를 쉽게 재현 할 수 없으므로 소금을 찾기 위해 난독 화 코드를 디버그해야합니다. 해결 방법 2. 감사 로그 라인이 추가 될 때마다 해시를 파일에 다시 만들어야합니다. 상대적으로 드물게 발생합니다. 아마도 외부에서 하루에 수백 시간이 걸릴 것입니다. – Wayne
소금은 단순한 고정 된 문자열보다 더 복잡하므로 복제하기가 더 어려워지고 모든 거래에서 변수가 변경되거나 변경 될 수 있습니다. 분명히, 나는 공개적으로 그 트릭을 게시 할 수 없습니다. 그러나 해커가 감사보고를 위해 파일을 보낼 때까지 해시가 올바르게 "해킹 된"경우 해커가 확인을하지 않기 때문에 크래커가 처리하는 것이 가장 어려울 것입니다. 그런 다음, 그들이 잘못된 "소금"을 사용한다면, 우리는 그것을 확실히 알 것입니다. – Wayne