Differenza tra autenticazione, integrità e autenticazione dell'origine dei dati

Naviga le tue risposte
9

Per prima cosa ho pensato che tutti questi termini fossero sinonimi, ma a volte vedo quei termini usati nello stesso documento. Ad esempio, su MSDN:

data origin authentication, which enables the recipient to verify that messages have not been tampered with in transit (data integrity) and that they originate from the expected sender (authenticity).

Non capisco completamente come sia l'integrità diversa dall'autenticità.

Come è possibile garantire solo l'autenticità del mittente senza l'integrità dei dati? Se un utente malintenzionato è in grado di modificare il contenuto, come possiamo ritenere che il campo del mittente sia corretto?

Allo stesso modo, cosa significa sapere che alcuni dati hanno integrità, ma non conoscono il mittente?

Per me, è solo questione di includere o meno il campo "Mittente" dell'intestazione nella parte del messaggio che è stata verificata per integrità (o autenticità, ora sono confuso)

Per quanto ne so, le firme digitali risolvono sia l'integrità che l'autenticità, forse è per questo che non riesco a vedere la differenza tra i due.

    
posta Jacques 07.07.2015 - 15:34
fonte

1 risposta

19

Integrity significa assicurarsi che alcuni dati non siano stati alterati da alcune "versioni di riferimento". L'autenticità è un caso speciale di integrità, in cui la "versione di riferimento" è definita "qualunque cosa fosse quando era sotto il controllo di una specifica entità". Autenticazione riguarda l'accertamento che una determinata entità (con cui stai interagendo) sia quella che tu credi che sia.

In questo senso, ottieni autenticità quando integrità e autenticazione vengono unite. Se preferisci, l'autenticità è l'autenticazione applicata a un dato tramite l'integrità.

Ad esempio, considera di utilizzare il browser per connettersi a un sito Web https:// . Questo significa SSL. C'è autenticazione durante l'handshake iniziale: il server invia il suo certificato e utilizza la sua chiave privata, e il certificato del server contiene il nome del server; il tuo browser controlla che il nome del server corrisponda a quanto previsto (la parte del nome del server nell'URL). Quindi tutti i dati scambiati vengono inviati come "record" che sono criptati e protetti da alterazioni: questa è integrità . Dal momento che il tuo browser riceve i dati che sono garantiti non modificati da ciò che era quando è stato inviato da un server debitamente autenticato, i dati possono essere considerati "autentici".

Non pensare troppo alle cose. La terminologia è almeno metà tradizionale, il che significa che non è necessariamente pratico. Ci piace parlare della triade "Riservatezza - Integrità - Autenticità" soprattutto perché rende l'acronimo "CIA", che sembra interessante.

    
risposta data 07.07.2015 - 15:45
fonte

Leggi altre domande sui tag

Perché la funzione scrypt node.js usa HMAC in questo modo? Come rendere una rete resistente all'ignoto?