EMC DPO: как защитить свои товары от подделок

    Представим ситуацию: вы приходите в магазин, скажем, дорогих часов, покупаете понравившийся товар, с нетерпением идете домой, чтобы открыть заветную коробочку, открываете ее, и, вдруг, выясняется, что купленный товар — дешевая подделка.

    Знакомо? Что делать и кто виноват? Доверие к производителю часов у вас начинает резко падать. А разве виноват произоводитель часов, что его продукцию подделывают? Спорный вопрос, мне кажется. Так или иначе, очевидно, что контрафакт причиняет огромные репутационные потери и убытки легальным производителям.

    Решением может быть использование продукта EMC DPO и блокчейна Emercoin.

    Как это может работать:

    Представим, вы приходите всё в тот же магазин дорогих часов, выбираете товар, но перед его покупкой видите на коробке QR-код с сопроводительной надписью что-то вроде «отсканируй меня, чтобы убедиться, что я не подделка». Вы сканируете QR-код, который отправляет вас на сайт производителя, где открывается, непосредственно, информация существует ли товар с таким серийным номером и был ли он ранее куплен кем-то другим:



    а, так же, краткое описание о товаре и его производителе:



    Так же, можно увидеть, что какой-то товар уже кто-то ранее купил и активировал (в этом случае, можно однозначно сделать вывод, что продаваемый товар в магазине либо уже был в употреблении, либо же подделка):



    Итак, допустим, вы в магазине убедились, что товар не подделка и не был ранее в употреблении. Вы его приобретаете и приходите домой. Распаковываете и видите внутри коробки другой QR-код, скрытый за светонепроницаемой защитной пленкой с сопроводительной надписью что-то вроде «отсканируй меня для активации товара». Снимаете пленку, сканируете QR-код, нажимаете «Активировать товар»:



    затем, вводите (по желанию) свое имя и отзыв к товару, а, так же, задаете пароль (с помощью которого вы позже сможете 1 раз изменить свой отзыв к товару):



    И, тогда, минут через 10, информация о покупке этого товара будет публично доступной как на сайте производителя, так и в блокчейне Emercoin, где его может просмотреть любой желающий:

    {
      "name": "dpo:Your Company:DEMO-1001:0",
      "value": "Item=Name of your product\nDescription=The description of your product\nPhoto=http://www.blockchainengine.org/wp-content/uploads/2016/04/Smart4.png\nOTP=bb680a8bcae3e5be23f3c9ed4d3d0e97d42cebe561f53a5a7502e2d150a937fb\nOwner=Garrett\nSecret=3aff84a0afcd7201b112652b8692975bcfdeb0060de5efbdaeb16d806f62848d\nComment=Cool !\nUpdated=1",
      "txid": "ee1ed730e16c41c7a42b3b87bf5bd5936b2e69a6448f510e08dd70d40bf57c1e",
      "address": "ERGPQNKpmJNaXeaq6ZDYwgghQDMBQGVema",
      "expires_in": 255036,
      "expires_at": 471574,
      "time": 1488110346
    }

    Вы можете сказать: «Причем здесь блокчейн? Такое вполне можно сделать централизованно производителем товаров!». Да, действительно, можно. Но использование децентразизованного хранилища в виде блокчейна обеспечит полную прозрачность над действиями производителей. Так, у них не получится выпустить неучтенный «левый» товар — всё будет публично и открыто. Если для производителя важно быть открытым и честным — то это, однозначно, выбор в сторону решения EMC DPO на базе блокчейна Emercoin.

    Развертывание EMC DPO на вашем сервере


    В этом разделе мы рассмотрим как развернуть и настроить EMC DPO на вашем сервере с ОС Ubuntu 16.04 LTS (amd64). Но, так же, поддерживаются и другие ОС: Ubuntu 14.04 LTS (amd64), Debian 8 (amd64, armhf), RHEL/CentOS 7 (x86_64).

    1. Установка службы Emercoind


    Воспользуемся стандартными средствами для установки Emercoind:

    apt-key adv --keyserver keyserver.ubuntu.com --recv B58C58F4
    add-apt-repository 'deb http://download.emercoin.com/ubuntu xenial emercoin'
    apt update && apt -y install emercoin

    Убедимся, что emercoind установился, работает и начинает скачивать блокчейн:

    emc getinfo

    {
      "version": 60000,
      "protocolversion": 70002,
      "walletversion": 60000,
      "balance": 1.090000,
      "newmint": 0.000000,
      "stake": 0.000000,
      "blocks": 216541,
      "moneysupply": 39554119.651462,
      "timeoffset": 0,
      "connections": 8,
      "proxy": "",
      "ip": "0.0.0.0",
      "difficulty": 206196413.012576,
      "testnet": false,
      "keypoololdest": 1487850355,
      "keypoolsize": 501,
      "mintonly": false,
      "unlocked_until": 0,
      "paytxfee": 0.010000,
      "relayfee": 0.000100,
    }

    Дожидаемся, пока блокчейн скачается. Отправляем на кошелек некоторое количество монет (из расчета, примерно, 0.12 EMC на одну операцию по созданию/обновлению инфо в блокчейне).
    Создать новый адрес кошелька можно командой:

    emc getnewaddress

    2. Создание NVS записей


    Необходимо создать записи в NVS блокчейна для производителя (вендора) и, непосредственно, для товаров (отдельная запись для каждой единицы товара).

    2.1. Создание главной записи вендора


    Определим начальные сведения. Пусть:

    • Производитель (вендор) называется «Your Company»
    • Логотип вендора находится по ссылке: http://emercoin.com/images/main-logo.png
    • Также, мы хотим создать дополнительное поле «Description» и поместить в него сведения: «The description of your Company»
    • Запись будет активной в течение 730 дней

    Тогда, такую запись можно создать следующей командой:

    emc name_new "dpo:Your Company" "Name=Your Company
    Description=The description of your Company
    Logo=http://emercoin.com/images/main-logo.png" 730

    После выполнения этой команды, получаем код Transaction ID, если всё прошло успешно.
    Дожидаемся попадания этой записи в блокчейн. Для этого, выполняем команду:

    emc name_show "dpo:Your Company"

    после попадания в блокчейн, мы должны увидеть что-то подобное:

    {
      "name": "dpo:Your Company",
      "value": "Name=Your Company\nDescription=The description of your Company\nLogo=http://emercoin.com/images/main-logo.png",
      "txid": "b11384b162e2d3d2900d10e942c6ae3aa8bca94801dc119677685d68d35c9712",
      "address": "ERGPQNKpmJNaXeaq6ZDYwgghQDMBQGVema",
      "expires_in": 127749,
      "expires_at": 343616,
      "time": 1487856529
    }

    запоминаем значение поля «address» — это будет основным адресом, от имени которого должны будут созданы все последующие записи продуктов.

    Дополнительно, мы должны придумать «соль» паролей пользователей, чтобы осложнить задачу злоумышленникам по перебору паролей — произвольный набор символов. Пусть для примера он будет "johNah2koosie3iG".

    2.2. Создание записей продуктов


    Определим начальные сведения. Пусть:

    • Товар называется «Name of your product»
    • Фото товара находится по ссылке: http://www.blockchainengine.org/wp-content/uploads/2016/04/Smart4.png
    • Также, мы хотим создать дополнительное поле «Description» и поместить в него сведения: «The description of your product»
    • Для начала, мы хотим создать 100 серийных номеров товара: от SN-55001 до SN-55100
    • Записи каждого товара будут активными в течение 730 дней

    Тогда, такие записи можно создать при помощи исполнения следующего скрипта (предварительно установив php-cli и pwgen):

    #!/bin/bash
    # Source: https://github.com/snvakula/svtools/blob/master/emcdpo-genbulk.sh
    
    URL="http://emcdpo.info/dpo"
    SALT="johNah2koosie3iG"
    ADDRESS="ERGPQNKpmJNaXeaq6ZDYwgghQDMBQGVema"
    VENDOR="Your Company"
    
    ITEM="Name of your product"
    PHOTO="http://www.blockchainengine.org/wp-content/uploads/2016/04/Smart4.png"
    OTHERS="Description=The description of your product"
    PREFIX="SN-"
    FIRST=55001
    LAST=55100
    DAYS=730
    
    while [ $FIRST -le $LAST ]; do
      echo "Creating serial $PREFIX$FIRST:"
      SECRET=$(pwgen 8 1)
      OTP=$(php -r "echo(hash('sha256', md5('$SECRET'.'$SALT')));")
      echo " * SECRET: $SECRET"
      echo " * OTP: $OTP"
      echo " * Public URL: $URL/key/$PREFIX$FIRST"
      echo " * Private URL: $URL/key/$PREFIX$FIRST?otp=$SECRET"
    
      COUNT=0
      while emc name_show "dpo:$VENDOR:$PREFIX$FIRST:$COUNT" >/dev/null 2>&1
      do
        let COUNT=COUNT+1
      done
      echo " * NVS Record: dpo:$VENDOR:$PREFIX$FIRST:$COUNT"
    
      VALUE="Item=$ITEM\nPhoto=$PHOTO\n$OTHERS\nOTP=$OTP"
      VALUE=$(echo -e "$VALUE")
      echo -n " * Transaction ID: "
      emc name_new "dpo:$VENDOR:$PREFIX$FIRST:$COUNT" "$VALUE" $DAYS $ADDRESS
    
      echo
      let FIRST=FIRST+1
    done

    где URL — веб-адрес развертывания EMC DPO.

    Результатом исполнения этого скрипта станут создание NVS записей (если вы сделали всё правильно) с выводом данных в консоль вида:

    Creating serial SN-55001:
    * SECRET: maifeB32
    * OTP: bb680a8bcae3e5be23f3c9ed4d3d0e97d42cebe561f53a5a7502e2d150a937fb
    * Public URL: http://emcdpo.info/dpo/key/SN-55001
    * Private URL: http://emcdpo.info/dpo/key/SN-55001?otp=maifeB32
    * NVS Record: dpo:Your Company:SN-55001:0
    * Transaction ID: 7e1c5a131887a08971225790047bf9e8asq3ca5f947beb9ba0ced6541931939f

    Сохраняем Public URL и Private URL для каждого отдельного серийного номера, делаем из них QR-коды и размещаем их: один на внешней стороне коробки, а второй, соответственно, — внутри коробки под защитной пленкой.

    3. Развертывание веб-приложения EMC DPO


    Устанавливаем зависимости и активируем нужные модули:

    apt install curl git apache2 libapache2-mod-php php-xml
    a2enmod rewrite

    Клонируем git-репозитарий в /var/www:

    cd /var/www
    git clone https://github.com/Emercoin/emcdpo

    Устанавливаем composer и его компоненты:

    cd /var/www/emcdpo/engine
    curl -sS https://getcomposer.org/installer | php
    php composer.phar install --prefer-dist

    Назначаем владельцем папки emcdpo пользователя www-data (или любого другого, из-под которого веб-сервер будет исполнять код):

    chown -R www-data:www-data /var/www/emcdpo/engine

    Прописываем наши параметры в файл /var/www/emcdpo/engine/src/settings.php:

    // General Settings
    CONST DPO_VENDOR = 'Your Company';
    CONST SALT = 'johNah2koosie3iG';
    CONST NVS_DAYS = 730;
    CONST ALLOWED_UPDATES = 2;
    CONST SEARCH_DEPTH = 10;
    
    // Emercoin RPC Settings
    CONST RPC_TYPE = "https";
    CONST RPC_USERNAME = "emccoinrpc";
    CONST RPC_PASSWORD = "RahRoh6ca8chaf6naji9dfaazaeghaidiLooyePi4aeQuah9lai4Eij5gotoocha";
    CONST RPC_HOST = "localhost";
    CONST RPC_PORT = '6662';

    Учетные данные для подключения к Emercoin RPC можно посмотреть в файле /etc/emercoin/emercoin.conf

    Далее, настраиваем веб-сервер. Для этого, создаем конфигурационный файл Apache /etc/apache2/sites-available/emcdpo.conf, пример которого:

    Alias /dpo /var/www/emcdpo/engine/web
    <Directory /var/www/emcdpo/engine/web>
        Options -MultiViews
        RewriteEngine On
        RewriteBase /dpo
        RewriteCond %{REQUEST_FILENAME} !-d
        RewriteCond %{REQUEST_FILENAME} !-f
        RewriteRule ^ index.php [QSA,L]
    </Directory>

    Активируем конфигурацию и перезапускаем Apache:

    a2ensite emcdpo
    systemctl restart apache2

    Теперь EMC DPO доступен по адресу: http://YOURHOSTNAME/dpo и готов к использованию.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 90

      0

      Я понял, что установить этот блокчейн очень просто. Но как защитить товар от подделки — нет.
      Например:


      Тогда, такую запись можно создать следующей командой:

      а можно несколько? А если да, то чьей верить? А если нельзя, то почему нельзя?

        0
        Запись о вендоре может быть только одна на каждый сайт. Она прописывается в конфиг сайта в settings.php — ей и будет верить сайт. А товаров может быть сколько угодно.
          0

          А что мешает широкоизвестному дядюшке Ляо с Малой Арнаутской сделать себе сайт с settings.php, в котором прописан красивый dpo? То есть я хочу сказать, что я не могу понять, где в этой схеме моя уверенность в подлинности товара? Много букв про установку какого-то софта. И мало слов на тему, задекларированной в заголовке.

            0
            Идея в том, чтобы компания-производитель разместила emcdpo в своей доменной зоне и объявила какой записи о вендоре верить. Тогда, попав на сайт, скажем, dpo.rolex.com, ни у кого не возникнет сомнений, что это именно Rolex. А зная корневую NVS запись вендора, можно получить информацию об изделиях напрямую из блокчейна в сыром виде. Причем, обо всех изделиях сразу, если угодно.
              0

              Ну, почему вы мне это рассказываете в комментариях, а не в самой статье? Там-то про все эти доменные хитрости (у меня тут, кстати, в голове всплыла рыба… то есть фишинг) ни слова. Только: ткнул туда, увидел это. А с такими пунктами это может быть любой продукт поддельный ли он, или не очень. Или вы мне в очередном комментарии расскажите о механизмах доверия блокчейна производителю, который регистрирует свои данные, и так мы, наконец, соберем статью о защите от подделок?

                0
                Идея в том, чтобы компания-производитель разместила emcdpo в своей доменной зоне и объявила какой записи о вендоре верить. Тогда, попав на сайт, скажем, dpo.rolex.com, ни у кого не возникнет сомнений, что это именно Rolex.

                Вот вы и получили единую точку отказа.

                  0
                  Поясните?
                    0

                    Вся проверка валидности корневой записи вендора (а, значит, и о всех выпущенных изделиях) сводится к проверке его сайта. Нет сайта — нет проверки валидности.

                      0
                      Это не так.
                      Любой может посмотреть записи любого вендора, как в сыром виде в блокчейне, так и настроив EMCDPO у себя на сервере с указанием корневой записи любого вендора. Тогда просмотреть данные вы сможете без проблем, но не изменить их.
                        0

                        Посмотреть — да. А проверить валидность?

                          0
                          Да, и проверить валидность, само собой
                            0

                            Эмм. Как проверить валидность корневой записи производителя товара, если сайт этого производителя недоступен?

                              0
                              Если вы развернете emcdpo и укажете корневую запись Rolex, то вы сможете валидировать продукты Rolex, т.к. инфо берется из блокчейна, где все записи открыты.
                                0

                                … но откуда мне знать, что корневая запись Rolex валидна?

                                  0
                                  По задумке, ее публикует производитель на своем сайте.
                                  А даже если и нет — то возьмите любой валидный продукт производителя — в нем содержится ссылка на корневую запись.

                                  Например:
                                  если товар имеет запись: dpo:Rolex Corp:SN-326832:0
                                  то ее корневая запись — dpo:Rolex Corp
                                    0

                                    Замкнутый круг.


                                    Мы как раз и начали с того, что сайт производителя недоступен, и поэтому мы не можем использовать его для проверки корневой записи этого производителя.


                                    Более того, откуда мне знать, что продукт производителя валиден — если я не могу проверить его валидность? — и что на нем оригинальная метка?

                                      0
                                      Это движок. Мы не рассматриваем возможность падения сайта производителя. А если кто хочет собственноручно убедиться — развернет dpo этого вендора на своем сервере и убедится, что запись валидная. Или же просто посмотрит в блокчейн.
                                        0
                                        Мы не рассматриваем возможность падения сайта производителя.

                                        Вот с этого и надо было начинать. Я всего лишь указал, что привязка к сайту производителя — точка отказа.


                                        Или же просто посмотрит в блокчейн.

                                        Откуда мы знаем, что запись в блокчейне — валидная?

                                          0
                                          Я об этом уже писал, смотрите выше: нужно знать ли корневую запись вендора, либо какую-то одну запись о легальном товаре
                                          0

                                          То есть "Как защитить свои товары от подделок" коллапсирует в "установите что-то и, ВЖЖУХ! вы защищены".

                                            0
                                            Вы подменяете понятия. Речь шла не об этом, а о том, как же самостоятельно проверить валидность товара, без участия сайта-производителя.
                                              0

                                              Я пока не могу подменять понятий, так как не имею понятия как это работает, а объяснить вы не хотите. Потому что для вас, похоже, всё очевидно, а для меня, к сожалению, нет. И в этом суть моего первого комментария была.

                                                0
                                                Всё просто: вы можете проверить подлинность:
                                                1) на сайте dpo производителя
                                                2) в сыром виде в блокчейне
                                                3) развернув на своем сервере emc dpo и настроившись на корневую запись производителя.
                          0
                          Такую логику можно распространить на любой сайт. Но тем не менее сайты работают, услуги оказываются. Сайт не управляет кардиостимулятором дедушки Ляо. Ну ляжет сайт, ну поднимут его. Можно зеркала сайта сделать. Схема формирования записей в блокчейне открыта. На худой конец можно самому через обозреватель NVS на сайте Emercoin посмотреть запись своего товара.
                          Да, а приложение в телефоне тоже откажет вместе с сайтом?
                            0
                            Можно зеркала сайта сделать.

                            … валидность которого снова нельзя подтвердить.

                              0
                              Конечно же, можно
                                0

                                Как?

                                  0
                                  Есть такая штука, называется SSL сертификат, я по ней ориентируюсь когда захожу в онлайн сбербанк.
                                    0

                                    Как SSL-сертификат может подтвердить, что какой-то сайт является легальным, а не поддельным зеркалом другого сайта, с которым они никак не афиллированы?

                                      0
                                      Вы сможете получить сертификат вот с таким заголовком в адресной строке?
                                      image
                                        0

                                        … а неаффилированное со Сбербанком зеркало?

                                          0
                                          тогда это фишинг и нужно смотреть на URL
                                            0
                                            Если подделки таких сайтов будут иметь место, значит нужно на все зеркала ставить сертификаты.

                                              0
                                              Сбербанк, как то существует в мире в котором можно подделать сайт. А потери у сбербанка при действии таких фишиг сайтов куда выше и серьезнее.
                                              На фишинг сайты как правило направляют трояны, трояны пишут, тратят на написание деньги, время, потому что профит от очистки карты лоха очевиден, а профит от перенаправления пользователя на левый сайт где он сможет подтвердить что его подделка оригинальна, около нулевой.
                                                0

                                                Почему около нулевой? Это как минимум позволит магазину и дальше и больше продавая левак получать выгоду. Выходит даже, что вовсе не обязательно производителю подделки делать какие-то телодвижения в эту сторону. В конце концов, производителей может быть несколько, а продает продукцию один магазин, вот он-то и озаботится всей этой машинерией. Это будет даже удобней, чем проверка серийника на сайте производителя.

                                    0
                                    Расскажите, как Вы подтверждаете валидность сайта habrahabr.ru?
                                      0

                                      Вообще — никак, меня это мало волнует. Но в общем случае — SSL, конечно.

                                        0
                                        Никто не будет массово лепить поддельные сайты брендов. Профита с этого кот наплакал, а вера в этот сайт будет столь короткая что не окупит затраченных на него средств.
                                          0

                                          Это суждение из разряда "никто не будет делать подделки". Если для того, чтобы успешно продать подделку, надо слепить поддельный сайт — будут лепить поддельные сайты.

                                            0
                                            Нет прямой зависимости, сделать поддельный сайт == продать подделку.
                                            Почему тогда сейчас мы не наблюдаем массовой подделки сайтов брендов для продажи поддельных товаров. Зайдя на поддельный сайт производителя пользователь мог бы на заказывать задешево подделок. Но этого нет сейчас. Хотя профит от этого прямой — покупка с поддельного сайта поддельного товара. С подделки сайта на котором идет только проверка и регистрация товара профит только косвенный.
                                  0

                                  Более того, есть товар, есть корневая запись, есть даже возможность его активировать. Но товар — подделка.

                                    0
                                    Этой проблемы нет, когда dpo размещено на сайте-производителе
                                      0

                                      Хорошо, поясню, что я имею в виду. Производитель подделки размещает на своем сайте вот эти вот все свои dpo, клеит свои куаркоды. Описание, название товара и прочее ничем не отличается от оригинальных.

                                        0
                                        Следует обращать внимание на URL, на который переходите по ссылке из QR-кода. Точно так же, как вы обращаете внимание на него, когда заходите в интернет-банк, скажем.
                                          0

                                          Скажем, это ничем не отличается от сверки серийного номера на сайте производителя. Но тут ещё хуже. На сайт переход происходит по qr-коду, которому я уже доверяю. Или нет?

                                            0
                                            Вы не на 100% доверяете QR-коду. Нужно еще смотреть куда именно вы переходите. Мне кажется, это очевидно. А если нет — то это уже задача для маркетологов.

                                            А сверка серийного номера — конечно же, ничем не отличается! Кроме одного: есть альтернативный источник для подтверждения подлинности — блокчейн.
                                              0

                                              То что есть такой источник бог с ним, он не добавляет никакой уверенности. От слова совсем. Но делает немножко приятно, что я могу проконтролировать… а что, собственно? А ничего. На сайте производителя серийник невалиден, а блокчейне он есть. Подделка? Сайт барахлит?
                                              На сайте производителя серийник проходит проверку, в блокчейне его нет. Что такое?
                                              На сайте подделки (нет, не надо сейчас про "следить за URL", мы знаем, что фишинг существует и он работает) есть номер, номер есть и в блокчейне. Прекрасно! Я владею настоящей вещью! Через неделю вещь сломалась. Будь ты проклят производитель дорогих цацок.
                                              Ого, а мы начали с того, что кому-то там репутация дороже денег. Так, как же и кому вот эта вот вся канитель помогает?

                                                0
                                                Это не является проблемой нашего решения, а, скорее, проблемой вендора, если у него так хаотично разбросаны данные
                      +1
                      Это в каждую коробку вкладывать индивидуально напечатанный QR код, да ещё и печатать другой на коробке? Может для часов за $3000 это и оправдано, но что-то сомнительно чтобы даже производителям телефонов это было выгодно.
                        0
                        Это можно сделать, например, в виде наклеел за 1/10 цента.
                          0
                          И чем этот QR-код будет отличаться от серийника? Серийники же печатают на многих товарах и ничего — не развалились.
                          У того же Jakemy (китайский производитель отверток и т.п.) печатает на каждом наборе, даже самом дешевом, серийник, который надо стирать и вводить на сайте для проверки.
                            0
                            В дешевые чипсы вкладывают магнитики, вроде не в убыток получается.
                            +1
                            Понятно, что при наличии уникального идентификатора товара и достаточно распространённого блокчейна подобный «электронный нотариат» может быть эффективным способом распознавания подделок и т.п.

                            При использовании «нотариального» сервиса, у которого уже есть достаточно высокоуровневый API, например Proof of Existence, операция «внесения в историю» потребует куда меньше установок ПО и возни в целом.

                            Один существенный вопрос останется: как добиться того, чтобы покупатель обязательно зарегистрировал вновь купленный товар (не очень важно пока, в чём именно)? Иначе вся затея слегка теряет смысл.
                              0
                              Это уже чистый маркетинг. Думаю, маркетологи справятся с этим.
                              Лично я, купив бы дорогие часы и имея возможность закрепить их за собой пожизненно в блокчейне, обязательно бы это сделал.
                              0
                              Что входит в QR-код? если URL, то можно сделать сайт emcdpo.com и разместить там статичную страничку «Тзис из орижинал товар, Ляо гарантирует» и какой процент разберётся что он поддельный?
                              Если только id для блокчейна, то нужно убедить покупателя помимо регистрации товара ещё и приложение себе поставить (и чтобы оно было на нужной платформе).
                                0
                                emcdpo.com и прочие непонятные сайты — да, конечно.
                                Но что вы скажете, если dpo будет размещено, скажем, на сайте dpo.rolex.com?
                                  0
                                  dpo.roleks.com?
                                  Многие покупатели подделок не замечают и более явные вещи. Делать систему защиты полутора гиков, которые и так не попадутся?
                                0
                                В этой схеме, записи с серийными номерами подписываются корневой записью производителя?
                                  0
                                  Вообще, есть 2 механизма:
                                  1) подписывать, как вы говорите, корневой записью производителя
                                  2) создавать записи с серийниками с того же адреса, с которого была создана корневая запись производителя.

                                  В примере выше расписан 2й вариант.
                                  +2
                                  Не совсем понял, как это работает в случае скажем, когда подделка скопирована с оригинального товара, но оригинальный ещё не был активирован.
                                  То бишь мошенники покупают ролекс за 10К, откладывают в сторонку и дальше через магазины впаривают подделку с тем же QR кодом с коробки со скидкой 50%. За 50% они быстро распродадут свои подделки — и тут уж хоть обсканируйся.
                                    0
                                    Как вы считаете, какие шансы, что кто-то из этиз 10к активирует товар?
                                    Очень высокие.
                                    Тогда остальные будут в пролете.
                                      +1
                                      Вы не поняли.
                                      Я (мошенник, хотя на самом деле нет). Покупаю в Цюрихе оригинальные часы за 10К.
                                      Далее на заводе в Китаее изготавливаю 100 копий с внешним кодом — точно таким же.
                                      Коробка — не отличишь от подделки.
                                      Клиенты сканируют, удостоверяются, видят, что код не активирован (а он не активирован, ибо оригинальные часы лежат у меня в сейфе). Покупают (я даю скидку для скорости реализации). И едут домой, где пытаются активизировать. И там только первый может активизировать. Остальные — в пролёте. И мы возвращаемся в ту же ситуацию что сейчас.

                                        0
                                        Вот именно! Как-только первый активирует (неважно оригинал это или какая-то одна единица из подделок) — остальные копии уже будут идентифицироваться как подделки.
                                          +3
                                          И что? Они уже куплены.
                                          Я читаю первый абзац статьи:
                                          Представим ситуацию: вы приходите в магазин, скажем, дорогих часов, покупаете понравившийся товар, с нетерпением идете домой, чтобы открыть заветную коробочку, открываете ее, и, вдруг, выясняется, что купленный товар — дешевая подделка.


                                          И где защита от этой ситуации?
                                            0
                                            Защита в том, что товар не успеет продаться, прежде, чем его активируют.
                                              +1
                                              Так его не активируют.
                                              Вот 101 товар лежит. 1 оригинал, 100 подделок.
                                              Оригинал не продаётся, а лежит себе в коробочке.
                                              100 подделок спокойно проходя проверку активации (её нет), но не активируются, потому как внутренний код неправильный.

                                              Чем отличается от ситуации, что есть 100 подделок, которые просто не проходят банальную проверку специалистом?

                                              Ответ — только наличием необходимости купить 1 оригинал и заныкать его.
                                              При этом возникает ложное ощущение большей безопасности за счёт новых технологий, но он именно что ложное.
                                                0
                                                Нужно указывать, что нужно проверять комплектацию QR-кодов
                                                  0
                                                  Я сделал липовый сайт (abibas.ru или adidas.pro) по продаже товаров не программистам. На весь липовый товар я леплю свой QR, по которому весь товар валиден, потому что проверяется на моём же официальном сайте.
                                                  PROFIT.
                                                    0
                                                    85-е правило Тёмного Властелина: Я не прибегну к плану, заключительная часть которого чудовищно сложна, наподобие «Расположить 12 Камней Силы на священном алтаре и активировать медальон в момент полного затмения». Скорее там будет что-то наподобие «Нажать кнопку».

                                                    Это к тому, что маркетолог вырвет все волосы на том, чем думает, прежде чем придумает способ нагрузить покупателя ещё одним действием. Да ещё таким, где требуется ощутимый IQ.

                                                    Когда товар для начала использования должен выйти в Сеть — такую задачу ещё можно как-то надеяться решить. В остальных случаях заклинание «это работа для маркетологов» можно считать утратившим силу.
                                        0
                                        Если по вашей схеме мошенники купят оригинальный ролекс, скопируют с него Qr коды на подделку. Подделку продадут. Владелец подделки зарегистрирует свой ролекс. Встает вопрос что делать с оригинальным ролексом? Ведь он уже числится по БЧ как зарегистрированный. Через магазин его уже не продашь, так как он по верхнему Qr коду будет уже «биться» как зарегистрированный. А предполагаемый покупатель увидев что часы которые ему пытаются продать числятся как зарегистрированные, с большой долей вероятности не купит их, да и на будущее будет обходить такой магазин стороной. Профит мошенников при такой схеме весьма сомнителен.

                                        Что можно добавить в схему? Если продавец при продаже делал бы отметку в NVS записи этого товара о том что товар продан, такого то числа, в таком то магазине. То схема с покупкой оригинального ролекса для копирования Qr кодов на подделку уже была бы скомпрометирована. Ведь покупатель при покупке может по внешнему Qr проверить товар на то что он ни где не продан.
                                          0
                                          Они скопируют внешний код (который используется для проверки), однако внутренний (который используется для регистрации) опустят. Или для красоты напечатают липовый.
                                          Получается ровна та же система как и сейчас.
                                          В магазине посмотрел — вроде всё ок.
                                          Принёс домой — барохло 20ти долларовое.

                                          Да, можно пойти в магазин и требовать возврата денег. Ровно как и сейчас.

                                            0
                                            На самом деле, если второго QR-кода не будет — то это уже можно считать подделкой.
                                            Такой механизм будет очень эффективен только совместно с маркетинговой поддержкой производителя.
                                              +1
                                              Липовый внутренний код? Это только для торговли с рук. Если Вы будете в магазине продавать подделку под какой то бренд с липовыми кодами, долго ваш магазин не проработает. Учитывая что первый же покупатель может обнаружить подлог. А учитывая нынешнюю скорость распространения информации, об этом магазине будет знать вся округа. Да, и стоит просто сообщить представителю этого бренда, что в таком то маге торгуют подделками, производитель бренда сделает все что бы прикрыть этот «рассадник» как можно быстрее.

                                              Не надо воспринимать эту схему как 100% абсолютную, вселенскую гарантию того что вы никогда, нигде, ни при каких обстоятельства не купите подделку. Это схема призвана противодействовать подделкам, и весьма эффективно, пускай не 100%, но по сравнению с той ситуацией которая сложилась с подделками на сегодняшний дел, эта технология ПРОРЫВ.
                                                0
                                                Ещё раз обращаю внимание, что автор в статье борется с ситуацией
                                                Представим ситуацию: вы приходите в магазин, скажем, дорогих часов, покупаете понравившийся товар, с нетерпением идете домой, чтобы открыть заветную коробочку, открываете ее, и, вдруг, выясняется, что купленный товар — дешевая подделка.


                                                То есть уже сейчас есть какие-то магазины, которые торгуют подделками. И только дома покупатель может определить то, что это подделка.
                                                Я лишь показал, что введение предложенного алгоритма НИКАК не помогает в этой ситуации, кроме как заставит магазин иметь одну шуку оригинальных часов.
                                                  0
                                                  Липовый код не прочитается на официальном сайте dpo производителя
                                                    0
                                                    Я не понимаю, почему?
                                                    Ещё раз — у вас заявлено 2 кода. Один внешний, второй где-то внутри упаковки.
                                                    В магазине продавец имеет досту к внешнему.
                                                    По внешнему проверяется — был ли этот код зарегистрирован или нет. Сама регистрация производится по внутреннему.
                                                    Я правильно понял концепцию?

                                                    Если да — внешний является полной копией оригинального и потому проходит проверку, ибо оригинальный не активировался. Зато внутренний не активируется (но уже дома).

                                                    Исли нет — поясните пожалуйста.
                                                      0
                                                      Зато прочитается на поддельном сайте dpo.rolex-watch.com, оригинальный код снаружи упаковки прочитается и на оригинальном сайте. Тот, кто не смог зарегистрировать по внутреннему липовому коду (почему не смог? rolex-watch отлично регистрирует любой код как в первый раз) не смог испортить запись об оригинальном коде и оказывается ровно в той же ситуации с подделкой как и без кода. По блокчейн проверить? В магазине? Много людей так сделают? А из покупающих Ролекс? А из покупающих Ролекс в сомнительных местах?
                                                      0
                                                      Автор борется не с ситуацией, автор предлагает весьма эффективный метод борьбы с подделками.

                                                      Для исключения ситуации которая Вас беспокоит, я предложил еще более сузить рамки:

                                                      «Что можно добавить в схему? Если продавец при продаже делал бы отметку в NVS записи этого товара о том что товар продан, такого то числа, в таком то магазине. То схема с покупкой оригинального ролекса для копирования Qr кодов на подделку уже была бы скомпрометирована. Ведь покупатель при покупке может по внешнему Qr проверить товар на то что он ни где не продан.»
                                                        0
                                                        Автор сам в качестве примера предложил ситуацию, в которой продавец нечестен, а покупатель может обнаружить подделку только после совершения сделки.
                                                        В такой ситуации предложенный механизм работать не будет.

                                                        Другую ситуацию я себе представить не могу. Качественно выгравированный серийник на стекле, который можно разглядеть в лупу и прочие «водянные знаки» — уже сейчас существуют.
                                                  0
                                                  Какие шансы на то, что товар, с которого была выполнена подделка, вернется в магазин? Близкая к нулю.
                                                0
                                                | Так, у них не получится выпустить неучтенный «левый» товар — всё будет публично и открыто.

                                                Это идея скорее для ФНС, чем для покупателя. Хотя чем она отличается от идеологии ЕГАИС — непонятно.
                                                  0
                                                  Не обязательно.
                                                  Здесь идея доказать покупателям что-либо.

                                                  Например: пусть это будут не обязательно часы, а, скажем, виноградники.
                                                  Всем известна площадь земледелий (ее можно указать в главной записи вендора, которая легко проверяется).
                                                  Допустим, мы знаем, что с 1 Га виноградников можно сделать N литров вина. Но производитель выпускает N*100 литров вина. Вопрос: откуда он взял столько сырья, если указывает, что вино именно из этого виноградника? Для этого нужна прозрачность блокчейна, чтобы доказать, что именно столько вина было произведено именно из этого виноградника.
                                                    0
                                                    С виноградниками вообще неясно.
                                                    Сколько покупателей будет проверять каждую бутылку? 5%?
                                                    Я вот (активный потребитель) — не буду. Я доверяю производителям. Или не доверяю.
                                                    И в принципе мне не важно, что в какой-то особый год производитель закупил материал на соседнем винограднике, ибо хозяин соседнего виноградника не готов был в этот конкретный год заниматься вином по личным причинам.

                                                    Вот для сильно ограниченных партий, когда заявлено, что вино выпускается скажем в 100 бутылках, там это могло бы сработать. Но там другие способы защиты. Да и не для массового рынка это.
                                                      0
                                                      Никто не говорит о дешевом вине, которое непонятно где производится и непонятно у кого скупается сырье. Речь об элитных дорогих сортах. Или о любом другом продукте, клиентам которых важно знать не обманывают ли их производители.
                                                        0
                                                        Между «дешёвым вином, которое непонятно где производится» и «Penfolds Bin 620» есть ещё множество вин, которые никак нельзя назвать ширпотребом (20-500 долларов за бутылку).

                                                        Элитные вина же имеют сертификаты происхождения, сертификаты, которые подтверждают условия хранения на всех этапах на всех шагах перепродажи. И тут ваша технология никак (на мой взгляд) не помогает.
                                                          0
                                                          Технически, сертификатов можно напечатать сколь угодно штук.
                                                            0
                                                            Цитирую вас же:
                                                            Распаковываете и видите внутри коробки другой QR-код, скрытый за светонепроницаемой защитной пленкой с сопроводительной надписью что-то вроде «отсканируй меня для активации товара».


                                                            Ну проверили вы в магазине, что за светонепроницаемой плёнкой что-то есть. И дальше приходите домой и проверяете, а там — дуля нарисована. Или левый код. А может между событиями прошёл месяц (вы подарок покупаете другу на юбтлей)?
                                                              0
                                                              Технически можно и левого производителя в блокчейн внести, печатать от него внешние коды, а внутрениие — левые. покупатели даже не смогут оставить отзыв, зато с нормальных кодов к тем же товарам можно наклепать фальшивых отзывов over 9000.

                                                              YaMishar — не всегда защищает, мы делаем копию вещи вместе с кодом и продаём троим, каждый видит что номер бьётся у производителя. С блокчейном тоже можно, если мы не подтверждаем личность владельца через блокчейн, но если уж квартиры умудряются дважды продать при всех мерах защиты документов, то тут ещё проще.
                                                                0
                                                                Если это ответ на условный GUID, то:
                                                                мы пробили на сайте поставщика и он показал, что товар ушёл в таку-то страну, такому-то дистрибютору/дилеру…
                                                                Тут нет плюсов по сравнению с наклейкой за исключением того, что наклейку можно напечатать на 100 долларовом принтере, а произвести гравировку сложнее.
                                                                Ну и гравировка не отэемлема от самого продукта. А то на наклейке написано, что телефон имеет топовую конфигурацию, а в реале — нет.

                                                                А самое глевное мы тут же регистрируем GUID на сайте производителя.
                                                    0
                                                    Кстати, вот если исключить необходимость регистрации дома, а оставить это прямо в магазине, то всё складывается. Но тогда зачем ваша технология?
                                                    Вот и сейчас я могу пробить VIN номер или IMEI телефона на сайте производителя.

                                                    Есть ещё вопрос — а почему вы выбрасываете б/у вещи из рассмотрения? Многие дорогие предметы (часы, телефоны, даже вина) могут перепродаваться. И вот тут как раз интересно прослеживать историю. Тут блокчейн мог бы помочь, а вовсе не в случае продажи нового товара, где достаточно условно GUID-а напечатанного на коробке или самом изделии. Уникальный номер однозначно защищает от подделки, если бьётся на сайте производителя.

                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                    Самое читаемое