Prova bancaria online della transazione per la verifica in tribunale

4

Quindi, quando eseguo una transazione di pagamento online " sign " la mia transazione con il mio digipass utilizzando una sorta di MAC (HMAC) con una chiave condivisa e alcune informazioni che sono univoche per questa transazione.

Ma usando questo schema, come può una banca "prova" più tardi (in tribunale ad esempio) che hai fatto questa transazione? La banca deve memorizzare la stessa chiave condivisa? Con le firme digitali RSA possono affermare che solo io potrei firmare questa transazione perché solo io ho la chiave privata che corrisponde alla chiave pubblica. Ma qui la chiave è simmetrica (la chiave condivisa tra te e la banca)?

Come è fatto? Può essere fatto? Esiste una sorta di standard formale che le banche usano?

Grazie (come sempre) per il tuo aiuto!

    
posta Lee. M 04.04.2013 - 21:55
fonte

2 risposte

5

Non dimostra che hai avviato la transazione. Potrebbe essere una prova, ma non prova che hai avviato la transazione.

Leggi su non ripudio, come spiegato altrove su questo sito: ad esempio, Come ottenere il non ripudio? e Qual è la differenza tra autenticità e non ripudio? Quelle pagine spiegheranno i molti limiti e le sfide di raggiungere il non ripudio. In particolare, non è possibile ottenere il non ripudio attraverso mezzi tecnici da soli. Anche una firma digitale (come RSA) non sarebbe sufficiente per il non ripudio.

    
risposta data 05.04.2013 - 03:20
fonte
1

Il non ripudio è una nozione legale e la legge non è esente da contesto. Dalla visione restrittiva e crittografica delle cose, un MAC mostra che qualcuno che conosceva la chiave MAC era coinvolto in qualche punto; ma sia il cliente (tu) che la banca tecnicamente "conoscono" quella chiave (la "conosci" perché è incorporata nel tuo token digipass, mentre il server della banca contiene lo stesso valore per verificare il valore inserito) . Pertanto, il crittografo dice: il MAC non aiuterà a dimostrare le cose in caso di contenzioso tra i due proprietari di chiavi, tu e la banca.

I giudici e gli avvocati non sono però crittografi. Quello che vogliono è fare una valutazione olistica di chi è più probabilmente il truffatore in quel contesto. Il server della banca contiene il segreto, ma quel server potrebbe trovarsi in un bunker con pesanti controlli di accesso (videocamere, smart card per connessioni sysadmin, moduli di sicurezza hardware ...). La banca proverà a fornire ampie prove del fatto che l'elusione dei propri sistemi di protezione senza lasciare traccia sarebbe costata molto più dell'importo in contenzioso, rendendo così poco plausibile l'utilizzo del noto tasto MAC per calcolare il valore MAC contestato. Ma il valore MAC esiste, quindi deve essere stato calcolato sul lato cliente .

È tutta questione di onere della prova e dipende molto dal Paese. Quando i paesi stabiliscono leggi per le "firme elettroniche", di solito fanno molta attenzione a non essere troppo specifici sugli elementi tecnici coinvolti nel processo. Invece, dichiarano che ci sono "buoni sistemi" che sono stati debitamente certificati sotto il controllo di un ente governativo, o di una società di revisione accreditata, che sono "difficili da sovvertire"; cosicché, in caso di contenzioso, spetterà al cliente trovare prove della contraffazione della firma, piuttosto che richiedere alla banca prove che la firma sia autentica. Un sacco di mezzi tecnici possono essere impiegati per ottenere questo stato "certificato buono"; firme digitali crittografiche (come RSA o DSA) sono convenienti per questo, ma non sono né strettamente necessarie né sufficienti.

(Se leggi francese, vedi come fa la Francia .)

Un altro aspetto del problema è minacce . Questa è la pietra angolare delle "firme", il tipo che fai con una penna su un pezzo di carta. Tali firme possono di solito essere contraffatte, molto più facilmente di quanto non facciano realmente aprire un gettone digipass o hackerare su un server bunkerizzato. E, in effetti, la banca contiene necessariamente nei suoi vault, da qualche parte, un modello di riferimento per la tua firma, in modo da poterlo imitare. Le firme manoscritte continuano a "funzionare", legalmente parlando, a causa del seguente cambiamento: contraffare una firma o, al contrario, ripudiare la propria firma, è un reato gravemente punito. Rischiare anni di carcere per una questione così banale come una transazione commerciale sarebbe irrazionale.

    
risposta data 05.04.2013 - 15:36
fonte

Leggi altre domande sui tag