Asegurar los datos del lado del cliente de los usuarios

Navega tus respuestas
4

Por lo tanto, mi problema, en su forma general, es el cifrado de preguntas de prueba, de modo que una aplicación de prueba del lado del cliente puede acceder a las preguntas mientras que los estudiantes no pueden. El enfoque ingenuo, en mi opinión, es utilizar un algoritmo de clave simétrica, con la clave codificada dentro de la aplicación, para cifrar y descifrar las preguntas. El problema, por supuesto, es que cualquier estudiante con algún conocimiento de seguridad podría recuperar la clave.

Suponiendo que un enfoque basado en servidor no es viable (sin conectividad a Internet), ¿hay una manera de asegurar preguntas en este escenario de modo que la aplicación pueda descifrarlas, los estudiantes no puedan y la clave no esté almacenada dentro de la aplicación? Sospecho que conozco la respuesta, pero me gustaría saber de quienes tienen más conocimientos que yo.

    
pregunta Ryan O. 03.03.2015 - 19:31
fuente

1 respuesta

2

No, no puede proteger los datos completamente si el usuario tiene el control total del sistema y su hardware (y posiblemente mucho dinero; atacar el hardware puede ser bastante costoso).

Si esto es solo para evitar trampas, codificar la clave de cifrado de manera confusa (para que las cadenas no lo encuentren) debería ser suficiente (cualquier ruptura de estudiantes que probablemente merezca una buena calificación).

Si está entregando el hardware junto con el software (¿de qué otra manera lo pasaría a los estudiantes sin internet?) podría seguir el enfoque sugerido por raz: cifrar los datos con una clave basada en el hardware de la computadora ( por ejemplo, agregando un PUF al hardware; pero nuevamente, el acceso al hardware significa que esto se puede romper ).

También puede consultar informática confiable , que intenta lograr lo que desea (pero aún así, acceso completo el hardware significa que se puede omitir con suficiente dinero y tiempo).

    
respondido por el tim 03.03.2015 - 23:52
fuente

Lea otras preguntas en las etiquetas

¿Por qué mi servidor web recibe tantos restablecimientos de TCP de algunos clientes? ¿Diferencia / relación entre el análisis de fuga de datos y el análisis de vulnerabilidad?