Perché vuoi un'autenticazione?
Per sapere che un'e-mail, una parte di software, un sito Web o un altro elemento provengono da una persona specifica, un sistema informatico o un'azienda. Generalmente stai utilizzando l'identità di origine come parte di una decisione sulla fiducia.
Se una e-mail proviene dalla tua banca e tu autentichi l'e-mail, inserisci una certa dose di fiducia nei contenuti. Se un'e-mail proviene da un avversario, ma afferma di provenire dalla tua schiena e non sei in grado di autenticare l'e-mail, diffidi il contenuto dell'e-mail.
L'autenticazione viene utilizzata per verificare l'identità. L'identità è l'affermazione che un individuo è una persona specifica. L'autenticazione è un tentativo di verificare un reclamo sull'identità. Posso affermare di essere Margaret Thatcher, ma poiché non sono Margaret Thatcher, non dovrei essere in grado di autenticare la mia richiesta.
Perché vorresti il non ripudio?
Per provare che una persona ha detto una frase particolare, ha digitato una frase specifica o ha eseguito un'azione specifica. Ripudiare significa affermare che tutto ciò che è stato detto, dattilografato, comunicato o eseguito non è stato fatto da voi (o dalla persona in questione).
Se qualcuno sostiene che George Carlin ha usato parolacce, e George Carlin tenta di ripudiare la richiesta, è facile dimostrare che ha usato parolacce. Ci sono prove che George Carlin abbia usato parolacce. Se George Carlin non può respingere l'affermazione sulle parolacce, le prove forniscono il non ripudio.
Il non ripudio è un tentativo attivo di creare artefatti che possono essere usati contro una persona identificata che nega di essere l'origine di una comunicazione o di un'azione. Gli artefatti sono identità, autenticazione dell'identità e qualcosa che collega una comunicazione o un'azione all'identità.
Nell'esempio di George Carlin ci sono documenti legali che registrano la testimonianza di molti testimoni che hanno identificato e autenticato George Carlin e lo hanno testimoniato usando parolacce. Questa è una produzione passiva e accidentale di artefatti che collegano un'azione ad un'identità.
In sicurezza vogliamo una produzione intenzionale attiva di artefatti che possa aiutare in un argomento di non ripudio. Per fare ciò dobbiamo identificare un'entità, autenticare l'identità e connettere l'entità identificata ad una specifica azione o comunicazione.
Alcune persone usano certificati di chiave pubblica / privata per firmare la loro posta elettronica. Usando il loro indirizzo e-mail stanno fornendo l'identificazione. Il loro uso di una chiave privata (per firmare l'e-mail) fornisce l'autenticazione a condizione che la chiave privata sia conosciuta solo dal singolo . Quando firmano un'e-mail con la loro firma digitale, collegano il contenuto dell'e-mail all'identità autenticata dal certificato. Questi artefatti possono aiutare a impedire a un individuo di ripudiare il contenuto dell'e-mail; "Non ho mai inviato quell'e-mail." Tuttavia, per ripudiare l'e-mail un mittente può richiedere che la sua chiave privata sia stata rubata (conosciuta da un'altra parte) e il ladro ha inviato l'e-mail.