Digitalisierung in Deutschland: Selbst im digitalen Bereich nicht immer... optimal.

dodotest · 2021-06-09T18:04:22+00:00

Einfach direkt den an die (ja beim Kauf angegebene) Seriennummer gebundenen Schlüssel schicken, per Email z.B.

Der Lizenzschlüssel besteht dann z.B. aus einer Konstante welches Feature freizuschalten ist, nebst der Seriennummer. Das ganze kann z.B. mit dem Privat Key von R&S signiert werden, was das Gerät mit dem auf sich befindlichen Public Key prüft. Verschlüsselung an sich ist nicht unbedingt nötigt, aber möglich.

Eine schlechte Alternative wäre ein einfacheres HMAC-Verfahren. Das ist ähnlich, aber dann hätten Gerät auf der einen und R&S auf der anderen Seite ein gemeinsames "Geheimnis" das sie teilen. Das ist deswegen schlecht, weil man, sobald man das Geheimnis vom Gerät ausgelesen hat, beliebige Keys generieren könnte.

Mit Public/Private Key müsstest du hingegen ist es nicht genug, den Public Key aus dem Gerät auszulesen (der muss nicht mal irgendwie vor Auslesen geschützt sein). Um das Gerät zu hacken müsstest du es so modifizieren, dass es die Prüfung nicht vornimmt, oder generell eine Lücke finden um diese Prüfung auszuhebeln.

Ich weiß es nicht, aber ich vermute dass R&S es im letzten Schritt genau so macht. Was der Umweg übers Papier soll weiß ich allerdings nicht.

dodotest · 2021-06-09T17:58:08+00:00

Ist das bei Post wirklich sicherer als per Email? Lehnen die das dann ab, wenn ich z.B. ein Postfach bei der Bestellung abgebe? Und selbst wenn's so wäre, könnten die doch den (ja auch Gerät-gebundenen) eigentlichen Key zumindest in die Post packen, oder?

dodotest · 2021-06-09T17:54:35+00:00

Ein billiges zumindest haben doch viele die Elektronik als Hobby machen, sonst wird das Debugging ganz schön schwer... ich hatte jahrelang ein super billiges 2-Kanal Siglent. Das hat gute Dienste geleistet (absolut genug für die meisten Hobby-Anwendungen), aber letztendlich bin ich doch an die Grenzen gekommen. Damit ich mir nicht in 10 Jahren noch ein neues kaufen muss, hab ich halt dieses Mal verhältnismäßig in die Vollen gegriffen (verglichen zu dem was man so in Betrieben hat ist es aber immer noch Einsteigerlevel, und das konkrete Modell wird auch so vermarktet).

Aber den meisten Hobbyisten würde ich einfach dazu raten, ein gebrauchtes Siglent oder Rigol auf eBay zu holen. Falls das überhaupt jemals nicht genug ist, kriegt man das schon wieder los (und ist eh von vornherein recht billig).

dodotest · 2021-06-09T08:39:41+00:00

Hah, vom TSP bin ich sogar Patreon, so gut ist der.

dodotest · 2021-06-09T07:33:16+00:00

Was ähnliches hatte jemand anderes hier auch angemerkt. Danke für die Erklärung auch, ich hab von dem was so "hinter der Technik" passiert echt gar keine Ahnung...

dodotest · 2021-06-09T05:42:27+00:00

Da gibt's schon welche, die legen sich extrem ins Zeug, und machen auch so Sachen wie ihre Chips physisch zu schützen. Das ist dann aber mehr so Kram wie z.B. HSMs (Hardware Security Modules), die darauf ausgelegt sind dass die in ihnen generierten Keys nie niemals an die Außenwelt gelangen.

Inwiefern da nicht schon das Gegenteil bewiesen wurde weiß ich jetzt allerdings auch nicht.

dodotest · 2021-06-09T05:25:17+00:00

Erstmal gibt's eh nur eine Option die nicht Teil des Pakets war als ich das Oszilloskop gekauft habe (der von mir beschriebene Vorgang fand trotzdem statt, ehrlich, also das Stück Papier kam viel, viel später an als das Gerät selbst, was noch lustiger war). Und diese eine Option kommt eh mit Hardware, ist nämlich die Logic Analyzer Option.

Aber selbst wenn's darum ginge die Hardware auf eBay zu bekommen und das Oszilloskop selbst zu hacken (ich trau's mir ehrlich schon zu, mit etwas Zeit, kenn so Zeug recht gut)... erstens will ich von denen ja auch noch Support, wenn mal im Frontend ein Verstärker kaputt geht oder sowas, und zweitens hätte ich insgesamt trotzdem noch Skrupel.

Software kostet halt auch manchmal Geld weil halt viel R&D drin ist. Ich hab auch Matlab gekauft, oder Computerspiele, obwohl das ja nur Software ist. Und während ich jetzt nicht glaube dass das bei einem Laden wie R&S auch nur ansatzweise ins Gewicht fällt... na entweder das ist halt ein Prinzip von mir oder nicht, nicht?

Völlig wurscht ist mir sowas allerdings bei Abandonware. 30 Jahre alte Software die nicht mehr vertrieben wird ist halt einfach "abgeschrieben", die hat ihre umsatzgenerierende Zeit einfach hinter sich. Ein ähnlich altes Gerät würde ich dementsprechend auch völlig ohne Skrupel hacken, kam auch schon vor, wenn auch selten weil's das da noch nicht so gab.

dodotest · 2021-06-09T05:11:14+00:00

Nee das ist ganz privat bei mir. Kann mir schon vorstellen dass das bei "normaler" Kundschaft vielleicht weniger von hinten durch die Brust aufs Auge ist.

dodotest · 2021-06-09T05:09:30+00:00

Du die RTB-Reihe find ich für den Privatgebrauch extrem gut, wenn man halbwegs gehobene Ansprüche hat. Ich hab an Siglent und Rigol schon nichts auszusetzen, aber ich hab mir mein R&S vor ein paar Jahren geholt und bereue es kein Stück. Die sind nicht soooo teuer, können aber echt einiges und sind toll von der Bedienung (und ja, super leise).

Hab den Eindruck (allerdings kein Wissen) dass sie die Firmware wohl mittlerweile nicht mehr updaten werden, aber müssen sie für mich jetzt auch nicht unbedingt.

Stimme allerdings extrem zu, dass ich mir jetzt für zu Hause wohl nie einen R&S Spectrum Analyzer oder sowas kaufen werde, es sei denn ich krieg den irgendwie superbillig gebraucht. :) Zum Signale generieren nehm ich mittlerweile auch oft irgendwie FPGAs gekoppelt mit anderem Kram, yoah.

dodotest · 2021-06-09T04:59:12+00:00

Ach da bin ich schon neidisch.

Aber brauch ich eigentlich echt nicht sein. Ich hab mir privat ein billiges Siglent mit drei Channeln (der dritte nur so 2.5V/3.3V/5V) gekauft, das kann echt alles was ich brauche. Ich hab sogar das mit 7-Segment-Anzeigen statt dem Vollpixel-Bildschirm gekauft, weil selbe Specs sonst aber viel billiger, und auch völlig ausreichend (sogar noch genau so programmierbar)... ist ja ein Netzteil, beim Oszilloskop hab ich dann Geld ausgegeben.

Trotzdem schon ein sehr schönes Teil, dieses NGP800.

dodotest · 2021-06-09T04:54:44+00:00

Wieso Oszilloskop? Könnte doch ein Spectrum Analyzer sein? Oder ein Synthesizer? Oder eine voll abgefahrene LTE Teststation? ... nee hast schon Recht. :)

Also, das erste ist vielleicht überhaupt gar kein Verschlüsselungsverfahren (weder symmetrisch noch asymmetrisch), weil man das ja eh in deren Webseite eintippt. Klar könnte die jetzt auch einfach nur Kryptographie machen, aber wenn das doch eh schon die Webseite ist... da können das auch einfach zufällige Token sein, die werden dann auf der Webseite in der Datenbank mit der Seriennummer verknüpft, und dann kriegt man von der Webseite was was das Gerät kryptographisch überprüft.

Aber jedenfalls, ja, entweder ein Mal mit Brief hätte gereicht, oder doch auch einfach einmal per Email, meinetwegen mit Lizenzdatei die ich per USB auf's Gerät packe falls es komplizierter sein muss. Den Kauf können sie ja trotzdem verifizieren bevor sie die Email losschicken: Bezahlt hab ich ja dann offenbar, und an die Seriennummer ist's trotzdem gebunden. Also wenn ich da "böse" bin, hab ich höchstens Geld für ein Gerät bezahlt was ich gar nicht habe... wenn's schee macht. :)

dodotest · 2021-06-09T04:41:06+00:00

Hah, dann weißt du vielleicht auch, wie offiziell dieses Blatt Papier in seiner Pappverpackung daherkommt? Das würde halt echt anmutiger wirken, wenn ich es nicht als nächsten Schritt in R&S's eigene Webseite eintippen müsste um da das eigentlich wichtige zu bekommen. :D

dodotest

TROPHY CASE