Betreibt ein Softwarehersteller eine Serveranwendung im eigenen Haus, ist die Notwendigkeit von Schutz und Lizenzierung dieser Anwendung eher gering, da der Hersteller die volle Kontrolle über Quellcode und Nutzung hat. Aber Internetverbindungen sind nicht immer stabil und fallen manchmal sogar für viele Stunden aus.
Dagegen ist es für viele Anwender wichtig oder notwendig, dass sie geschäftskritische Anwendungen in einer privaten Cloud, auf Edge-Devices oder komplett On-Premises betreiben können. Mit einer in Java-Script geschriebenen Anwendung wäre es für den Hersteller möglich, verschiedene Plattformen zu bedienen, ohne die Anwendung neu schreiben zu müssen. Allerdings würde der Hersteller damit den Quellcode seiner Anwendung weitergeben – und damit wertvolles Know-how – und er hätte praktisch keine Kontrolle mehr darüber, wer seine Anwendung nutzt, wie oft, wie lange und in welcher Weise, denn Lizenzabfragen ließen sich leicht aus dem lesbaren
JavaScript-Quellcode entfernen. Wie also kann ein Hersteller sein Know-how schützen und für die lizenzgerechte Nutzung seiner Anwendung sorgen?
Schutz und Lizenzierung
Da die meisten schützenswerten JavaScript-Server- und -Desktopanwendungen auf Node.js basieren, hat das Karlsruher Unternehmen Wibu-Systems seine CodeMeter-Technologie speziell für Node.js-basierte Anwendungen erweitert und mit AxProtector Java-Script ein Verschlüsselungstool geschaffen, das vollständige Anwendungen oder Teile davon automatisch verschlüsselt.
CodeMeter Protection Suite
Für verschiedene Zielsysteme und Programmiersprachen stehen passende Verschlüsselungstools zur Verfügung, die zusammen die CodeMeter Protection Suite bilden. Dazu zählen AxProtectoren für Windows, Linux, macOS, Android, .NET, Java, Python und – seit letztem Jahr – JavaScript. Die jeweils benötigten Varianten können einzeln gekauft werden. Alle Varianten sorgen für einen starken Schutz durch die Verschlüsselung des ausführbaren Codes, verbunden mit einer optionalen einfachen Integration einer Lizenzabfrage in die eigentliche Anwendung. Der Programmcode wird erst entschlüsselt, wenn er ausgeführt wird. Nicht benötigter Programmcode bleibt verschlüsselt und kann somit nicht aus dem Speicher extrahiert werden. Die zur Entschlüsselung benötigten Schlüssel werden sicher in einem CmContainer gespeichert, das heißt, wahlweise in der Schutzhardware CmDongle, in der Aktivierungsdatei CmActLicense oder in einem CmCloudContainer in der Cloud. Beim Kauf erhält der Anwender die verschlüsselte Software sowie die in einem CmContainer hinterlegten Nutzungsrechte. Seit der CodeMeter-Version 10.80 können Hersteller AxProtector JavaScript zur Verschlüsselung und Lizenzierung nutzen.
Funktionsweise
Wie bei Python erfolgt auch bei JavaScript die Verschlüsselung auf Funktionsebene im Quellcode – ganz ohne Anpassung des Quellcodes. AxProtector JavaScript wird in das Build-System integriert und sorgt dort dafür, dass der Originalcode verschlüsselt und für die Auslieferung wieder in Form von JavaScript-Dateien abgelegt wird. Die beigefügten Bilder zeigen die Unterschiede. Welche Funktionen und Klassen verschlüsselt werden sollen, legt der Softwarehersteller in einer Konfigurationsdatei fest.
Der AxProtector JavaScript ist zurzeit in drei Varianten erhältlich, die einzeln oder in Kombination erworben werden können: Basisfunktion, individuelle Lizenzierung (modular Licensing) und IP Protection Modus. Die Basisfunktion bietet die Verschlüsselung der gesamten Anwendung sowie eine automatisch integrierte Lizenzprüfung. Die individuelle Lizenzierung erlaubt die Freischaltung einzelner Features einer modular aufgebauten Anwendung. Der IP Protection Modus dient dem Schutz vor Reverse Engineering bei Anwendungen, die nicht an eine Lizenz gebunden sind, und ermöglicht damit zum Beispiel Demo-Anwendungen oder Freemium-Modelle.
Sicherheit
Die Funktionen des AxProtector JavaScript liegen verschlüsselt und signiert in den oben erwähnten Java-Script-Dateien, die vom Build-System erzeugt werden. Dabei wird die bereits beim Universal Firm Code bewährte Zertifikatsinfrastruktur eingesetzt. Zur Laufzeit werden diese Funktionen von der mitgelieferten CodeMeter Protection Suite Runtime (CSPRT) validiert, im Speicher entschlüsselt, dort auch ausgeführt und dann wieder aus dem Speicher entfernt.
Die CodeMeter Protection Suite Runtime ist selbst über AxProtector geschützt, um zu verhindern, dass ein Angreifer sie manipuliert. Die verschlüsselte
JavaScript-Anwendung kann auf verschiedene Betriebssysteme portiert werden und bietet Softwareherstellern somit eine hohe Flexibilität. Ohne weitere Anpassung kann die verschlüsselte Anwendung auf Windows, Linux oder macOS ausgeführt werden. Momentan steht die CodeMeter Protection Suite Runtime auf den x86-Plattformen von Windows, macOS und Linux zur Verfügung; weitere Plattformen werden folgen.
Features
AxProtector JavaScript bietet die bekannten Sicherheitsfeatures der CodeMeter-Technologie, egal ob mit oder ohne Lizenzbindung. Jeder Kunde erhält beim Erstkauf seinen Universal Firm Code, eine einzigartige Nummer für sein Unternehmen, das in die Verschlüsselung einfließt. Zu den Sicherheitsfeatures gehören Codeverschlüsselung, Laufzeitprüfung, Anti-Debugging, Integritätsschutz und Schutz auf Funktions- und Klassenebene. Aktuell werden folgende Zielbetriebssysteme und Zielplattformen unterstützt: Win-dows x86, Windows x86_64, Linux x86, Linux x86_64 und
macOS x86_64.
Details zum Schutz von Python-Anwendungen:
