[Global] Tip gesucht: Kopierschutz für Daten

Christof Donat global@hostsharing.net
Fri, 16 Jun 2006 11:17:27 +0200 

Hi,

> Ein Call Center soll seine rund 150.000 Kunden telefonisch kontaktieren
> und zu seinem Angebot befragen. Dazu sollen die Daten über das Internet
> (es muss nicht das Web sein) verfügbar gemacht werden.
>
> Der Kunde hat jedoch Angst um seine Daten, sprich, dass das Call Center
> diese Daten kopiert und für andere Zwecke verwendet. Gesucht wird daher
> eine technische Lösung, die, abgesehen von vertraglichen Aspekten
> (Vertragsstrafe etc.) und dem Gebot extremer Datensparsamkeit, das
> Vervielfältigen der Daten möglichst kostspielig macht.
>
> Der Kunde kalkuliert, dass jeder Datensatz etwa 10 Cent wert ist und
> daher manuelles Kopieren nicht in Frage kommt. (Glaubt er zumindest.)
>
> Eigentlich sehe ich da nicht viele Möglichkeiten, außer die Daten
> Datensatzweise in möglichst verschiedene Captchas zu verwandeln,
> anonsten droht IMHO immer die Gefahr (automatisierter) Screenshots +
> Texterkennung...
>
> Diese Lösung ist aber für die arme Leute im Call Center kaum zumutbar.

Ich würde auf jedem Arbeitsplatzrechner einen eigenen Private/Public-Key-Paar 
generieren. Dann kann der Arbeitsplatzrechner eine signierte Anfrage an den 
Server nach einem Datensatz stellen. Der Server vereinbart daraufhin mit dem 
Arbeitsplatzrechner einen Sitzungsschlüssel mit dem der Datensatz einzeln 
abgefragt werden kann. Es kann dann pro Arbeitsplatzrechner nur eine Sitzung 
offen sein und pro Sitzung nur ein Datensatz in Einzelteilen abgefragt 
werden. Dann kann man auf dem Server Plausibilitätschecks einführen (Sitzung 
sollte mindestens 10min dauern, etc.)

Das macht zwar das kopieren nicht unmöglich, aber sehr anstrengend und 
auffällig. Eventuell schafft man das auch auf Basis von 
SSL-Client-Zertifikaten. Dann muss er die Client-Rechner nur minimal 
beeinflussen.

Jedenfalls sollte es mit entsprechenden Logfiles und ein paar Heuristiken 
möglich sein, eventuellen Missbrauch zu erkennen: sehr kurze Sessions, viele 
Anfragen in kurzer Zeit, lauter gleich lange Sessions, gleichmäßige 
Verteilung der Sessions über die Zeit (Tag/Nacht), systematisch 
gleichförmiges Auslesen der Einträge in den Sessions, etc.

Christof

-- 
Christof Donat Softwareentwicklung           Software nach Maß

Zugspitzstr. 211                                 www.cdonat.de
86165 Augsburg                                   cdonat@gmx.de


http://www.openbc.com/go/invuid/Christof_Donat