Registrazione o iscrizione?

3

Quando si entra in una rete autenticata, ho visto i termini "Registrazione" e "Registrazione" utilizzati per descrivere il processo di configurazione iniziale delle credenziali sulla rete. "Autenticazione" stessa è quindi un'attività periodica in cui tali credenziali vengono convalidate.

Mi chiedo se questi termini sono sinonimi o se c'è una sottile distinzione. Forse è il caso che la registrazione si riferisce a un processo manuale (iscriversi su una pagina Web, confermare l'indirizzo e-mail, ecc.) O la registrazione è più di un processo automatico e trasparente, magari assistito da funzionalità hardware / OS, come il provisioning dei certificati .

Esistono definizioni ben definite per "Iscrizione" o "Registrazione", come ad esempio "Autorizzazione" o "Autenticazione"?

    
posta robert 13.08.2015 - 11:31
fonte

2 risposte

1

Facendo alcune ricerche su questo argomento (con cui intendo digitare le parole come parte di varie query di ricerca web), ho scoperto alcune sottili distinzioni nell'uso di questi termini. Innanzitutto, registration è di per sé un termine molto più generale che può essere applicato in diversi scenari. La registrazione tuttavia viene in genere utilizzata nei domini dell'autenticazione basata su certificati (in particolare in relazione a un dispositivo, piuttosto che un'identità personale) e in ambito biometrico, dove si riferisce alla cattura di informazioni biometriche da utilizzato per scopi di autenticazione successivi.

Quindi, in che modo questi due termini si correlano tra loro? Beh, nel caso biometrico presumerei che la persona che si è iscritta si sia precedentemente registrata da qualche parte prima di essere presentata al meccanismo di registrazione.

Nel caso dell'autenticazione basata su certificati, sembra che la registrazione sia anche l'attività prerequisita, prima che un dispositivo sia registrato con un'autorità di certificazione.

Ho consultato due glossari informatici su questo. Il primo era il NIST "Glossario dei termini chiave per la sicurezza delle informazioni" dove l'unico il riferimento alla registrazione è:

Enrollment Manager – The management role that is responsible for assigning user identities to management and non-management roles. SOURCE: CNSSI-4009

che non è di grande aiuto. Ma la registrazione è coperta qui:

Registration – The process through which a party applies to become a subscriber of a Credentials Service Provider (CSP) and a Registration Authority validates the identity of that party on behalf of the CSP. SOURCE: CNSSI-4009 The process through which an Applicant applies to become a Subscriber of a CSP and an RA validates the identity of the Applicant on behalf of the CSP. SOURCE: SP 800-63

che è abbastanza chiaro. L'altra fonte che ho scoperto era "Javvin Network Dictionary" che definisce così la registrazione:

Registration in network security means the administrative act or process whereby an entities names or other attributes are established for the first time at a Certificate Authority (CA), prior to the CA issuing a digital certificate that has the entity's name as the subject.

Ancora una volta "iscrizione" è un po 'più vaga:

Certificate Enrollment Protocol (CEP) is a certificate management protocol ... CEP specifies how a device communicates with a CA, including how to retrieve the public key of the CA, how to enroll a device with the CA, and how to retrieve a Certificate Revocation List (CRL).

La documentazione effettiva per CEP non definisce il termine, ma una relativa gestione dei certificati "RFC" su CMS (CMC) " descrive il termine come segue:

Enrollment or certification request refers to the process of a client requesting a certificate. A certification request is a subset of the PKI Requests.

Ancora non completamente chiaro, ma guardando un altro RFC relativo a "Iscrizione su trasporto sicuro" :

After authenticating an EST server and verifying that it is authorized to provide services to the client, an EST client can acquire a certificate for itself by submitting an enrollment request to that server.

Quindi, fondamentalmente l'autenticazione è un prerequisito per la registrazione e, se si sta autenticando, sicuramente è già stato registrato.

Questa comprensione è legata al caso Biometrics e anche alle mie esperienze personali in cui mi iscrivo per registrare il mio dispositivo su una rete in cui la mia identità è già nota. In un senso più generale, "non Infosec", anche questo si allinea; ti iscrivi a un'università e quindi al momento dell'iscrizione fornisci i tuoi dati personali e seleziona le tue lezioni !

    
risposta data 16.08.2015 - 21:56
fonte
0

Non c'è alcuna distinzione utile tra i due in questo contesto. (Puoi controllare l'inglese SE per le differenze ma sembrano pertinenti solo per quanto riguarda ups .) Molto probabilmente stai vedendo diversi usi dei sinonimi da parte dei manutentori del sito. Parte del mio lavoro riguarda la modifica della copia web, e posso dirvi che la maggior parte di ciò che è là fuori è stata scritta da persone per le quali la grammatica non è né una preoccupazione né un interesse. Dovresti sentirti libero di usare qualsiasi parola ti sia più adatta.

    
risposta data 13.08.2015 - 22:15
fonte

Leggi altre domande sui tag