Datenintegrität und Rechtslage

Intermediate

Tuesday, December 6th 2011, 7:40pm

Datenintegrität und Rechtslage

Hallo,

in meiner Applikation verwende ich bestimmte keys, um Nutzer zu identifizieren. U.A. verwende ich da MAC Aresse des Ethernet Adapters.

Jetzt Frage 1: darf ich die MAC-Adress überhaupt in einem key auf des Nutzers Computer speichern bzw. darf ich sie überhaupt auslesen ? Es handelt sich dabei nicht um eine Website o.ä., einfach eine Applikation die man downloaded, ein Computergame um genauer zu sein.

Dann sieht mein Key ungefähr so aus:

Key Versions Nummer| Generierungsdatum | MAC-Adresse (das wichtigste) | Checksumme

Jetzt möchte ich, dass der Nutzer den auf seinem PC generierten Key nicht verändert, sprich, ich will verhindern, dass er einfach in den Key etwas hineinschreibt, und dass das dann als gültig erkannt wird. Dafür soll meine Checksumme gut sein, nur leider ist die meistens trivial zu knacken, nicht ? Ich hätte da an einfaches aufsummieren/multiplizieren bestimmter Zahlen gedacht, wo ich dann den Wert vergleiche.

Frage 2 also: kennt ihr gute Verfahren, die meine keys wenigstens halbwegs gut schützen ? Die Nutzer sollen halt die Datei nicht wahrlos beschreiben können, und das ist dann ein gültiger Key.

Vielen Dank schonmal für die Antworten.

Gruß
-z0

Rondrer

Professional

Posts: 306

Tuesday, December 6th 2011, 7:58pm

Die MAC-Adresse auszulesen und auf dem jeweiligen PC irgendwo zu speichern sollte rechtlich kein Problem sein, ich wüsste jetzt nicht warum das ein Problem sein sollte. Nur wenn du sie zu deinem Server schickst und dort speicherst könnte das ein Datenschutzrechtliches Problem sein, was davon abhängt ob MAC-Adressen personenbezogene Daten sind oder nicht (ich weiß nicht ob das mittlerweile gerichtlich geklärt wurde oder nicht). Kommt halt immer drauf an in welcher Geschäftsbeziehung usw. du mit dem Kunden stehst, denn komplett verboten ist das speichern Personenbezogener Daten selbstverständlich auch nicht.

Zu deinem anderen Problem: Dafür könnte ein MAC (Message Authentication Code, nicht zu verwechseln mit der MAC-Adresse; die Abkürzung ist ziemlich mehrdeutig) das richtige sein. Dafür brauchst du allerdings nen geheimen Key und wenn das Programm, dass du weitergibst in der Lage sein soll den MAC zu berechnen, muss der Key ja irgendwo gespeichert sein und dann besteht auch die Möglichkeit, dass jemand diesen "findet" und dann auch in der Lage ist gültige MACs zu generieren.

Es gibt verschiedene MAC verfahren, ein sehr verbreitetes ist HMAC bei dem ein Hash-Algorithmus zum Einsatz kommt: http://de.wikipedia.org/wiki/HMAC

user_z0

Intermediate

Posts: 43

Tuesday, December 6th 2011, 8:27pm

HMAC klingt garnich mal so übel. Danke. D.h. den hmac-key werde ich wohl irgendwo verstecken müssen

Das ist aber auch garnicht so schlimm, denn mir ist bewusst, dass man den Key ohnehin fälschen kann, mir geht es nur darum, den Vorgang des fälschens möglichst zu erschweren. HMAC ist da denke ich eine gute Wahl (muss mich aber noch genauer mit befassen). Klar ist, man soll aufjedenfall nicht die Datei einfach so öffnen können, irgendwas reinschreiben, und dann hat man es gefälscht. Das können c.a.99,9% aller meiner Nutzer, da bin ich sicher. So reduziert es sich wenigstens auf ca 2%

Zur Rechtslage, naja. Ich speicher die Daten nicht auf dem Server, nur die sha codierung davon. Der Rest ist beim Client.

This post has been edited 1 times, last edit by "user_z0" (Dec 6th 2011, 8:33pm)