¿Cómo puedo demostrar SSL / TLS a niños de 10 años?

14

Soy un ingeniero de software con un sesgo particular en seguridad de la información y DRM; Tengo una buena comprensión de la implementación (y algunas de las matemáticas).

La escuela de mi hijo se está ocupando de la seguridad de la información y se mantiene segura en línea en este momento. Uno de los temas que tratarán es http vs. https y su maestro me preguntó si puedo participar y ayudar. Me gustaría encontrar una forma realmente sencilla de demostrar el cifrado de par de claves utilizando algo como un teléfono de lata para demostrar lo fácil que es para Eve escuchar a Bob y Alice simplemente uniendo una tercera lata a la cuerda, seguido por un (muy rudimentario) tls handshake sobre lata teléfono para luego enviar un mensaje encriptado . Lo ideal sería que cifraran el mensaje de una manera lo-fi adecuada (lápiz y papel, calculadora).

¿Cómo podría hacerlo?

    
pregunta BenLanc 16.11.2017 - 01:17
fuente

6 respuestas

4

Esto no tiene nada que ver con la seguridad de la información, por lo que sé, sin embargo, siempre pensé que era una buena manera de mostrar cómo se podía entregar algo a Bob desde Alice a través de un canal no seguro.

Alice pone su mensaje en una caja, la bloquea y la envía a Bob a través de un sistema postal inseguro. (El sistema de franqueo no puede ver el contenido de la caja ya que Alice la ha bloqueado). Bob recibe la caja pero no puede desbloquearla. Bob luego agrega su propio candado a la caja y lo envía a Alice. Alice luego retira su candado y se lo envía a Bob. Ahora, Bob puede desbloquear la caja sin que MITM pueda ver el contenido.

    
respondido por el AliceToBob 20.11.2017 - 14:41
fuente
8

Una lección o actividad sobre el tema 'HTTP vs HTTPS "para 10 años no es una lección sobre criptografía. Se trata de privacidad y" seguridad "en la web.

El EFF tiene un buen material educativo sobre HTTPS y Tor que puede usar como inspiración (Tor está fuera del alcance, pero la parte sobre HTTPS es relevante). El punto es explicar las amenazas y cómo el uso de HTTPS las mitiga.

Como demostración, puede configurar una red wifi y una computadora portátil con Firesheep u otra herramienta que muestre visualmente HTTP intercepciones: Puede pedir a los niños que usen sus teléfonos inteligentes para navegar por sitios web en HTTP y compararlos con sitios web en HTTPS.

Si desea entrar en los detalles, puede indicar que TLS garantiza la confidencialidad, autenticidad y integridad de los datos provenientes de y hacia los sitios web. Explica esas 3 palabras.

Si empiezas a hablar sobre claves de cifrado o matemáticas, vas a ir muy lejos. Pero puede intentar convencer a los maestros para que hablen por segunda vez sobre la historia de la criptografía y el análisis de criptografía (por lo general, es una buena forma de presentar el tema).

    
respondido por el A. Hersean 16.11.2017 - 15:58
fuente
3

Para la autenticación, sería bastante fácil de mostrar -

  • El cliente envía un mensaje al servidor solicitando que se conecte
  • El servidor envía una hoja de papel con su firma también firmada por un tercero de confianza (¿el profesor?).
  • El cliente verifica la firma del profesor contra su propia copia. Ahora confía en el servidor.

Entonces podrías explicar a un hombre en el medio. Es decir. el servidor ahora puede firmar todos sus mensajes para probar que los envió. Pero el cliente no tiene forma de probar sus propios mensajes al servidor, por lo que [otra persona] puede cambiar el mensaje de los clientes de forma pasiva. También pueden leer los mensajes del servidor.

La mejor manera que he encontrado para describir la criptografía de clave pública / privada a personas con una mentalidad menos técnica es dividirla en dos procesos.

  • Enviar un mensaje a alguien cifrado con su clave pública es como enviar una carta a través de un buzón bloqueado. Cualquiera puede publicar la carta, pero solo el propietario tiene las claves para abrirla y leer el mensaje.

  • Firmar un mensaje con una clave privada es como tener una vitrina bloqueada. De nuevo solo el dueño tiene la llave. Así que sabes que cualquier cosa allí fue puesta por ellos.

Con un poco de madera y un par de hojas de plexiglás, debería ser lo suficientemente fácil como para juntar lo anterior.

Diffie-Hellman es un poco más difícil. A menos que su hijo sea un adolescente, me imagino que no querrá entrar en detalles reales aquí.

En cuanto a permitirles probar su propio cifrado, un método simple sería un cifrado de sustitución. Imprime mapas de personajes por adelantado. Si quisiera demostrar por qué esto ya no es seguro, podría usar el análisis de frecuencia para enviar un mensaje largo (ya sea a mano o con software).

    
respondido por el Hector 16.11.2017 - 09:59
fuente
1

Es posible que desee cubrir algo que los niños puedan hacer de forma práctica y luego pasar a los tipos de cifrado SSL / TLS. Por ejemplo, tal vez mostrarles el Cypher de Cesearan, luego Vigenere, etc. y dejar que los hagan a mano. Luego, explique cómo un cifrado más complejo usa una clave más larga, y así sucesivamente, para asegurar su información de cualquier persona al ser muy difícil de adivinar.

    
respondido por el Adonalsium 16.11.2017 - 14:57
fuente
1

La analogía del cuadro de bloqueo

Una de las formas más poderosas de dejar una impresión en los niños es mostrarles, mediante la demostración, que una idea que probablemente tienen como sentido común evidente es completamente falsa. En este caso, la idea de que todas las apuestas están desactivadas si le pasas un mensaje secreto a alguien a través de un mensajero curioso o malicioso.

Encuentro que muchos niños y personas que generalmente no son expertos en seguridad tienden a tener el problema más difícil para entender la criptografía asimétrica. Es bastante fácil confiar en que se puede usar una contraseña para codificar datos, pero la idea de que dos personas pueden intercambiar un secreto compartido en un medio de comunicación hostil no es del todo intuitiva. Una analogía que he utilizado explota con éxito el comportamiento de un solo sentido de los bloqueos comunes (es decir, cualquiera puede bloquearlo, pero solo aquellos con la clave correspondiente pueden desbloquearlo).

Una demostración práctica

Aquí es útil para describir cómo se puede comunicar un secreto compartido, utilizando un enfoque práctico. No lo haría particular para TLS (ya que el apretón de manos implica mucho más), sino más bien general entre todos los cifrados asimétricos. Tú juegas con Alicia, un niño juega con Bob y el otro con Eva. Dígale al niño que juega a Bob que su objetivo es comunicarse con usted en secreto sin dejar que Eva sepa lo que está diciendo, a pesar de que Eva fue la que transmitió los mensajes. La demostración es simple:

  • Dale una caja de candado desbloqueada (¡pero no la llave!) a Eve y dile que se la pase a Bob.

  • Haz que Bob escriba una nota secreta, la ponga en el cuadro de bloqueo y cierre el bloqueo.

  • Pídale a Bob que le devuelva la caja de seguridad a Eve y le pida que se la devuelva (Alice).

  • Usa la tecla para desbloquear el cuadro de bloqueo y mira la nota.

  • Cifre un mensaje con un simple cifrado de sustitución, utilizando la nota como clave.

  • Envíe el mensaje cifrado a Eve y pídale que se lo pase a Bob.

  • Deja que Bob descifre el mensaje. Hable de un lado a otro varias veces utilizando el secreto compartido.

Puedes omitir la parte del cifrado de sustitución si tienes poco tiempo y, en cambio, enfocarte en el hecho de que lograste compartir un secreto sin que Eve sea capaz de averiguar qué es, pero puede que explicar los conceptos básicos de la criptografía simétrica aún así, ayude a los niños a entender mejor la teoría detrás de eso que simplemente diciéndoles que confíen en que se puede usar un valor secreto corto para mezclar un mensaje más grande de manera reversible.

Ataques de hombre en el medio

Si tienes suerte, un niño inteligente podría preguntar por qué Eve no puede simplemente intercambiar la caja desbloqueada con una que posee, en cuyo caso tienes una oportunidad útil para explicar los ataques MITM y las firmas digitales. La solución se vuelve más fácil de entender cuando tienen una analogía de la vida real de una función de trampilla: algo que es fácil de verificar, pero difícil de falsificar. Una firma escrita se ajusta perfectamente a esto. No creo que haya necesidad de explicar certificados o CA. Solo haga que sea general para todas las firmas digitales, de modo que su comprensión se aplique igualmente a TLS, ejecutables firmados o GnuPG.

Quizás también mencione que los navegadores le darán una indicación cuando falle este proceso, ya que un malentendido de esto se explota comúnmente en intentos de phishing.

Lo que representa Eva

Es posible que tenga que explicar que la conexión a un sitio web requiere servidores intermedios para pasar los datos de un lado a otro. Si bien puede ser obvio para nosotros, un niño de 10 años puede pensar que su computadora que se comunica con cualquier sitio web naturalmente implica una conexión directa, sin ninguna entidad intermedia. Explicando que hay computadoras en las que no confía entre usted y el destino les permitirá comprender mejor lo que representa Eva.

Puede ampliar esto un poco mencionando que el que pasa los mensajes de un lado a otro no es necesariamente malicioso. Eve puede muy bien ser alguien que busca en el mensajero (rastrear Wi-Fi o usar el enrutador de otra persona, por ejemplo).

Criptografía más fuerte

Si bien puede estar fuera del alcance, puede mostrar cómo se pueden romper los cifrados de sustitución simples, y luego darles algo como enviarle un mensaje de Solitario cifrado como tarea (o sugerirle eso al maestro, si no lo hace). tienen la autoridad para distribuir tareas), para que puedan ver cómo es un cifrado criptográficamente fuerte, aunque sea de juguete. ¡Puede dejar una fuerte impresión en un niño saber que nadie sabe cómo transmitir un mensaje que cifró con sus propias manos! Una sensación de poder mientras se aprende es muy atractiva para los niños.

Puntos de bonificación por usar los nombres Alice, Bob y Eve en tus discusiones. ;)

    
respondido por el guest 18.11.2017 - 06:42
fuente
1

Aquí hay algo para considerar:

  • Dales computadoras e indícales que naveguen en un sitio sin SSL / TLS, donde tienen que escribir texto en un cuadro de texto y enviar los datos.

  • Muéstreles cómo pudo interceptar todos los datos que enviaron y explique lo peligroso que podría ser si ingresaran una contraseña.

  • Ahora repítalo nuevamente pero con un sitio SSL / TLS. Muestre cómo nadie puede ver qué datos enviaron, ni siquiera las personas que ejecutan el sitio web.

Ahora entenderán que al tratar con información confidencial en línea, siempre deben asegurarse de que el sitio web utiliza HTTPS.

    
respondido por el Joe 17.11.2017 - 17:17
fuente

Lea otras preguntas en las etiquetas