Qual è la differenza tra autenticità e non ripudio?

37

Sono nuovo di infosec e sto facendo qualche lettura. Non sorprendentemente, un punto di partenza è stato wikipedia. In questo articolo , autenticità e non ripudio sono elencato come 2 "concetti di base" separati. La mia comprensione è che non si può ottenere il non ripudio non conoscendo quali parti sono coinvolte, il che richiede l'autenticità. In questo senso, vedo l'autenticità come una componente secondaria del non ripudio.

Hai esempi a sostegno dell'approccio che questi due concetti sono fondamentalmente separati?

    
posta Max 31.08.2011 - 12:59
fonte

5 risposte

18

Autenticazione e non ripudio sono due diversi tipi di concetti.

  • L'autenticazione è un concetto tecnico : ad esempio, può essere risolta tramite la crittografia.

  • Il non ripudio è un concetto giuridico : ad esempio, può essere risolto solo attraverso processi legali e sociali (eventualmente supportati dalla tecnologia).

Ad alcune persone è stato insegnato che il non ripudio può essere fornito solo attraverso la cripto-matematica. Tuttavia, non è corretto.

    
risposta data 01.09.2011 - 22:05
fonte
36

L'autenticità riguarda una parte (ad esempio Alice) che interagisce con un'altra (Bob) per convincere Bob che alcuni dati provengono davvero da Alice.

Il non ripudio riguarda Alice che mostra a Bob una prova che alcuni dati provengono davvero da Alice, così che non solo Bob è convinto, ma Bob ha anche la certezza che potrebbe mostrare la stessa prova a Charlie, e Charlie sarebbe convinto, anche se Charlie non si fida di Bob.

Pertanto, un protocollo che fornisce il non ripudio fornisce necessariamente l'autenticità come sottoprodotto; in un certo senso, l'autenticità è un sotto-concetto di non ripudio. Tuttavia, ci sono modi per fornire autenticità (solo) che sono notevolmente più efficienti dei metodi conosciuti per ottenere le firme (l'autenticità può essere ottenuta con un Messaggio Codice di autenticazione considerando che il non disconoscimento richiede una firma digitale con una matematica molto più coinvolgente). Per questo motivo, ha senso usare "autenticità" come concetto separato.

SSL / TLS è un protocollo di tunneling che fornisce l'autenticità (il client è sicuro di parlare con il server previsto) ma non non ripudio (il cliente non può registrare la sessione e mostrarla come prova, in caso di controversia legale con il server, perché sarebbe facile costruire un record di sessione totalmente falso).

    
risposta data 31.08.2011 - 13:16
fonte
7

Perché vuoi un'autenticazione?

Per sapere che un'e-mail, una parte di software, un sito Web o un altro elemento provengono da una persona specifica, un sistema informatico o un'azienda. Generalmente stai utilizzando l'identità di origine come parte di una decisione sulla fiducia.

Se una e-mail proviene dalla tua banca e tu autentichi l'e-mail, inserisci una certa dose di fiducia nei contenuti. Se un'e-mail proviene da un avversario, ma afferma di provenire dalla tua schiena e non sei in grado di autenticare l'e-mail, diffidi il contenuto dell'e-mail.

L'autenticazione viene utilizzata per verificare l'identità. L'identità è l'affermazione che un individuo è una persona specifica. L'autenticazione è un tentativo di verificare un reclamo sull'identità. Posso affermare di essere Margaret Thatcher, ma poiché non sono Margaret Thatcher, non dovrei essere in grado di autenticare la mia richiesta.

Perché vorresti il non ripudio?

Per provare che una persona ha detto una frase particolare, ha digitato una frase specifica o ha eseguito un'azione specifica. Ripudiare significa affermare che tutto ciò che è stato detto, dattilografato, comunicato o eseguito non è stato fatto da voi (o dalla persona in questione).

Se qualcuno sostiene che George Carlin ha usato parolacce, e George Carlin tenta di ripudiare la richiesta, è facile dimostrare che ha usato parolacce. Ci sono prove che George Carlin abbia usato parolacce. Se George Carlin non può respingere l'affermazione sulle parolacce, le prove forniscono il non ripudio.

Il non ripudio è un tentativo attivo di creare artefatti che possono essere usati contro una persona identificata che nega di essere l'origine di una comunicazione o di un'azione. Gli artefatti sono identità, autenticazione dell'identità e qualcosa che collega una comunicazione o un'azione all'identità.

Nell'esempio di George Carlin ci sono documenti legali che registrano la testimonianza di molti testimoni che hanno identificato e autenticato George Carlin e lo hanno testimoniato usando parolacce. Questa è una produzione passiva e accidentale di artefatti che collegano un'azione ad un'identità.

In sicurezza vogliamo una produzione intenzionale attiva di artefatti che possa aiutare in un argomento di non ripudio. Per fare ciò dobbiamo identificare un'entità, autenticare l'identità e connettere l'entità identificata ad una specifica azione o comunicazione.

Alcune persone usano certificati di chiave pubblica / privata per firmare la loro posta elettronica. Usando il loro indirizzo e-mail stanno fornendo l'identificazione. Il loro uso di una chiave privata (per firmare l'e-mail) fornisce l'autenticazione a condizione che la chiave privata sia conosciuta solo dal singolo . Quando firmano un'e-mail con la loro firma digitale, collegano il contenuto dell'e-mail all'identità autenticata dal certificato. Questi artefatti possono aiutare a impedire a un individuo di ripudiare il contenuto dell'e-mail; "Non ho mai inviato quell'e-mail." Tuttavia, per ripudiare l'e-mail un mittente può richiedere che la sua chiave privata sia stata rubata (conosciuta da un'altra parte) e il ladro ha inviato l'e-mail.

    
risposta data 31.08.2011 - 20:51
fonte
0

Autenticità : Generalmente accertato dal destinatario previsto e implementato utilizzando i codici di autenticazione dei messaggi (MAC) o Keyed Hashes (un digest che incorpora una chiave durante il digest ) . La base è che il mittente e il destinatario avranno una chiave condivisa comune (in qualche modo condivisa). Il mittente utilizzerà un algoritmo MAC che accetta la chiave condivisa, il contenuto e calcola un MAC. Questo MAC viene inviato al destinatario insieme al messaggio. Alla ricezione, il destinatario farà la stessa cosa, utilizzerà l'algoritmo MAC sulla chiave condivisa e il contenuto per calcolare un MAC alla sua estremità. Se il MAC ricevuto corrisponde a quello calcolato, vengono verificate due cose, il messaggio non è stato manomesso e il messaggio è stato inviato dal mittente previsto.

Non ripudio : Chiunque può convalidare l' autenticità di un messaggio e l'origine del messaggio . Si basa su Digital Signatures (Public Key Cryptography) in cui tutti hanno accesso alla chiave pubblica di un firmatario che ha calcolato una firma digitale su alcuni contenuti (potrebbe essere prodotta da lei o da qualcun altro) usando il suo privato chiave. E il resto del mondo ha la chiave pubblica firmatari , in modo che possano eseguire alcuni calcoli sulla chiave pubblica del firmatario, sul contenuto che è stato firmato e sulla firma che hanno per verificare che infatti il firmatario ha firmato il contenuto e il contenuto non è stato manomesso . Se questo è convalidato, allora il firmatario non può rifiutare di non aver firmato il contenuto, quindi, non ripudio.

Spero che questo aiuti.

    
risposta data 28.11.2018 - 07:51
fonte
-1

La raccomandazione X.800 definisce chiaramente sia l'autenticazione che il non ripudio come servizi di sicurezza , come puoi leggere nel paragrafo 5.2 del seguente documento: link

I servizi di sicurezza sono i requisiti di base in sicurezza e sono implementati utilizzando meccanismi di sicurezza .

Quindi, sia l'autenticazione che il non ripudio sono lo stesso tipo di concetto e la differenza tra i due è chiaramente spiegata nel documento citato sopra.

    
risposta data 22.10.2013 - 17:30
fonte

Leggi altre domande sui tag