如何向10岁儿童演示SSL/TLS？

Question

我是一名软件工程师，在信息安全和DRM方面有着特殊的倾向；我对实现(以及一些数学)有很好的理解。

我儿子的学校目前正在做信息安全和网络安全方面的工作。他们将讨论的主题之一是http与https，他的老师问我是否可以进来帮忙。我想找到一种非常简单的方法来演示密钥对加密，使用像tin can电话这样的东西来演示Eve通过在字符串上附加第三个锡罐来监听Bob和Alice是多么容易，然后是tls握手(非常基本的)tls握手，然后再通过tin can电话发送加密信息。理想情况下，他们会以一种适当的低保真方式加密信息(笔和纸，计算器)。

我该怎么做？

Answer 1

据我所知，这在信息安全方面没有任何类似之处，但我一直认为这是一种很酷的方式，可以通过一个不安全的通道向Bob展示某种东西是如何从Alice发送给Bob的。

Alice把她的消息放在一个盒子里，锁上这个盒子，然后通过一个不安全的邮政系统将它发送给Bob。(邮资系统无法查看盒子的内容，因为Alice已经锁定了它。)鲍勃收到了这个盒子，但无法解锁。然后，Bob将自己的挂锁添加到盒子中，并将其发回给Alice。爱丽丝然后取下她的挂锁，寄回给鲍勃。现在bob可以解锁盒子，而不需要任何MITM来查看内容。

Answer 2

10年前关于‘HTTPS’的课程或活动不是密码学的课程，而是关于隐私和在网络上保持“安全”的课程。

EFF有一个很好的关于HTTPS和Tor的教育材料，你可以用它作为灵感(Tor不在范围之内，但是关于HTTPS的部分是相关的)。重点是解释这些威胁，以及如何使用HTTPS来减轻它们。

作为演示，您可以使用火柴或其他可视化显示HTTP截取的工具设置wifi网络和膝上型计算机：

你可以让孩子们用他们的智能手机浏览HTTP中的网站，并与HTTPS中的网站进行比较。

如果你想进入细节，你可以知道TLS保证了来自和来自网站的数据的保密性、真实性和完整性。解释这三个词。

如果你开始谈论加密密钥或数学，你就会走得很远。但是你可以试着说服老师第二次讨论密码学和密码分析的历史(这通常是介绍这个话题的好方法)。

Answer 3

为了身份验证，可以很容易地显示-

• 客户端向服务器发送请求连接的消息。
• 服务器发回一张有其签名的纸片，签名也由可信的第三方(教师？)签名。
• 客户端根据自己的副本检查教师的签名。它现在信任服务器。

然后你可以解释一下中间的一个人。也就是说，服务器现在可以对其所有消息进行签名，以证明它发送了这些消息。但是客户端无法向服务器证明自己的消息，因此其他人可以在传递过程中更改客户端消息。他们还可以从服务器读取消息。

我发现向技术水平较低的人描述公钥/私钥密码学的最佳方法是将其分为两个过程。

• 向使用公钥加密的人发送消息就像通过锁定的邮箱发送信件一样。任何人都可以邮寄这封信，但只有主人才有钥匙来打开它并阅读这封信。
• 用私钥签名消息就像有一个锁定的显示箱。同样，只有主人才有钥匙。所以你知道里面的东西都是他们放的。

有了一个小木制品和几张桃花片，就可以很容易地把上面的东西放在一起了。

迪夫-赫尔曼有点难。除非你儿子是个十几岁的孩子，否则我想你可能不想在这里讲任何细节。

至于让他们尝试自己的加密，一个简单的方法将是一个替代密码。预先打印出字符地图。如果您想演示为什么这些不再安全，您可以使用频率分析来破坏前面的一条长消息(无论是手动的还是软件的)。