Protezione dei dati lato client dagli utenti

Question

Protezione dei dati lato client dagli utenti

#1 da (2 voti)

4

Quindi il mio problema, nella sua forma generale, è la crittografia delle domande di test in modo tale che un'applicazione di test lato client possa accedere alle domande mentre gli studenti non possono. L'approccio ingenuo, secondo me, è utilizzare un algoritmo a chiave simmetrica, con la chiave codificata all'interno dell'applicazione, per crittografare e decrittografare le domande. Il problema ovviamente è che qualsiasi studente con qualche esperienza di sicurezza potrebbe recuperare la chiave.

Supponendo che un approccio basato sul server non sia praticabile (nessuna connessione Internet), esiste un modo per garantire domande in questo scenario in modo tale che l'applicazione possa decrittografarle, gli studenti non possono e la chiave non è memorizzata all'interno dell'applicazione? Sospetto di conoscere la risposta, ma mi piacerebbe sentire chi è più esperto di me.

client-side encryption penetration-test integrity

posta Ryan O. 03.03.2015 - 19:31

fonte

1 risposta

Leggi altre domande sui tag client-side encryption penetration-test integrity

Beneficiare di specificare il set di caratteri Content-Type JSON? Perché i router domestici accettano il traffico DNS in entrata?

score 2 · Accepted Answer

No, non è possibile proteggere completamente i dati se l'utente ha il controllo totale del sistema e del suo hardware (e possibilmente un sacco di soldi, l'hardware di attacco può diventare piuttosto costoso).

Se questo è solo per prevenire imbrogli, codificare la chiave di crittografia in modo offuscato (in modo che le stringhe non la trovino) dovrebbe essere sufficiente (qualsiasi studente che si rompa probabilmente merita comunque un buon voto).

Se stai distribuendo l'hardware insieme al software (in quale altro modo potresti passarlo agli studenti senza Internet?) potresti seguire l'approccio suggerito da raz: crittografare i dati con una chiave basata sull'hardware del computer ( ad esempio aggiungendo un PUF all'hardware, ma ancora, l'accesso all'hardware significa che questo può essere rotto ).

Potresti anche consultare calcolo attendibile , che cerca di ottenere ciò che desideri (ma comunque, l'accesso completo per l'hardware significa che può essere bypassato con abbastanza soldi e tempo).